Alerte - Exploitation de masse de la vulnérabilité critique PHP-CGI (CVE-2024-4577)

Numéro : AL25-001
Date : 12 mars 2025

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le Centre pour la cybersécurité est au fait de cas d’exploitation continue et accrue de la vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. CVE-2024-4577 ^{Note de bas de page 1Note de bas de page 2Note de bas de page 3}, une vulnérabilité critique en matière d’exécution de code à distance (RCE) touchant la mise en œuvre PHP-CGI de PHP sur Windows.

Les installations de PHP sur Windows configurées pour utiliser PHP-CGI sont particulièrement à risque, car la vulnérabilité exploite le traitement d’Unicode dans le module CGI.

Les auteurs de menace exploitent activement cette vulnérabilité. Le Centre pour la cybersécurité n’est au courant d’aucune victime canadienne de cette activité soutenue, mais les systèmes au Canada demeurent vulnérables, malgré le fait que la preuve de concept concernant un code d’exploitation est disponible depuis juin 2024.

Mesures Recommandées

Les organisations doivent déterminer si elles sont à risque en vérifiant si elles exécutent des versions vulnérables de PHP installées sur Windows.

Il est conseillé aux organisations de mettre à jour les versions suivantes de PHP^{Note de bas de page 4}:

• PHP 8.3 - mise à jour à la version 8.3.8 ou à une version ultérieure
• PHP 8.2 - mise à jour à la version 8.2.20 ou à une version ultérieure
• PHP 8.1 - mise à jour à la version 8.1.29 ou à une version ultérieure

Les organisations devraient également consulter et mettre en œuvre les 10 mesures de sécurité des TI ^{Note de bas de page 5} du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

• l’intégration, la surveillance et la défense des passerelles Internet;
• l’application de correctifs aux applications et aux systèmes d’exploitation;
• l’isolement des applications Web.

Veuillez déterminer si des activités malveillantes connexes ont eu lieu dans des systèmes potentiellement vulnérables. Si tel est le cas, il est conseillé aux destinataires de le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Rapports de Partenaires

• NCSC NZ – Vulnerability affecting PHP on Windows (en anglais seulement)

L’information transmise par des organisations qui ne sont pas soumises à la Loi sur les langues officielles est présentée dans la ou les langues dans lesquelles elle a été fournie.