Número: AL25-001
Fecha: 12 de marzo de 2025
Audiencia:
Este informe está dirigido a profesionales y gerentes de TI.
Objetivo:
Se lanza esta alerta para crear conciencia sobre una amenaza cibernética reciente que puede impactar los activos de información digital y para ofrecer recomendaciones de detección y mitigación a los destinatarios. El Centro Canadiense de Seguridad Cibernética ("Cyber Center") se encuentra disponible para proporcionar asistencia adicional sobre el contenido de esta alerta a quienes lo soliciten.
Detalles:
El Cyber Center ha identificado un aumento en la explotación de la vulnerabilidad CVE-2024-4577, una falla crítica de ejecución de código remoto (RCE) en la implementación de PHP-CGI de PHP en sistemas Windows. Esta vulnerabilidad afecta principalmente a las instalaciones de PHP en Windows que están configuradas para utilizar PHP-CGI, ya que explota el procesamiento Unicode en el módulo CGI. Actualmente, los actores de amenazas están utilizando activamente esta vulnerabilidad, aunque el Cyber Center no tiene conocimiento de víctimas canadienses hasta la fecha. Sin embargo, se ha confirmado que los sistemas en Canadá siguen siendo vulnerables, a pesar de que hay una prueba de concepto de exploit disponible desde junio de 2024.
Acciones Sugeridas:
Las organizaciones deben evaluar si están expuestas a riesgos verificando si están ejecutando versiones vulnerables de PHP en sus sistemas Windows. Se recomienda a las organizaciones actualizar las versiones de PHP a las siguientes:
- PHP 8.3: Actualizar a 8.3.8 o posterior
- PHP 8.2: Actualizar a 8.2.20 o posterior
- PHP 8.1: Actualizar a 8.1.29 o posterior
Además, se sugiere revisar e implementar las 10 principales recomendaciones de seguridad del Cyber Center, con un enfoque particular en:
- Consolidación, monitoreo y defensa de puertas de enlace de Internet.
- Parcheo de sistemas operativos y aplicaciones.
- Aislamiento de aplicaciones orientadas a la web.
Las organizaciones también deben investigar si ha habido actividad maliciosa en sistemas que podrían ser vulnerables. En caso afirmativo, se les anima a informar a través del Portal Cibernético o por medio del correo electrónico contact@cyber.gc.ca.
Informes de Socios:
El Centro Nacional de Ciberseguridad de Nueva Zelanda (NCSC NZ) ha emitido advertencias sobre esta vulnerabilidad que afecta a PHP en sistemas Windows.
Referencias:
Nota al pie 1: Greynoise detecta una explotación masiva de la vulnerabilidad crítica de PHP-CGI (CVE-2024-4577), señalando una campaña amplia.
Nota al pie 2: Desenmascarando los nuevos ataques persistentes en Japón.
Nota al pie 3: Expertos advierten sobre la explotación masiva de vulnerabilidades críticas de PHP (CVE-2024-4577).
Nota al pie 4: La mitigación principal y más efectiva es actualizar PHP a las versiones más recientes.
Nota al pie 5: Las 10 principales acciones de seguridad de TI para proteger las redes e información conectadas a Internet (ITSM.10.089).
Este resumen presenta un panorama claro de las amenazas cibernéticas actuales con énfasis en la vulnerabilidad CVE-2024-4577, y proporciona acciones concretas que las organizaciones pueden tomar para mitigar el riesgo. La actualización de versiones de PHP y la implementación de buenas prácticas de seguridad son claves en la protección de sistemas digitales ante este tipo de vulnerabilidades.