Niedawno załatana luka bezpieczeństwa we współczesnych wersjach PHP jest wykorzystywana do przejęcia serwerów i to na coraz większą skalę. Luka umożliwia zdalne wykonanie kodu (RCE) w PHP 7, nowszej wersji PHP - najczęściej używanym języku programowania do tworzenia stron internetowych. Błąd oznaczony jako CVE-2019-11043, umożliwia atakującym uruchamianie poleceń na serwerach poprzez specjalnie spreparowany adres URL. Wykorzystanie błędu jest trywialne, a kod exploita został publicznie opublikowany na GitHub na początku tego tygodnia.
Nowy błąd PHP7 CVE-2019-11043 może pozwolić nawet nietechnicznym atakującym na przejęcie serwerów.
„Skrypt PoC zawarty w repozytorium GitHub może przesyłać zapytania do docelowego serwera WWW w celu ustalenia, czy jest podatny na atak, wysyłając specjalnie spreparowane żądania”, mówi Satnam Narang, starszy menedżer ds. bezpieczeństwa w Tenable. „Po zidentyfikowaniu wrażliwego celu atakujący mogą wysyłać specjalnie spreparowane żądania, dodając '?a=' w adresie URL wysyłanym do podatnego serwera WWW.” Na szczęście nie dotyczy to wszystkich serwerów WWW obsługujących PHP. Luka dotyczy tylko serwerów NGINX z włączonym PHP-FPM. PHP-FPM to alternatywna implementacja PHP FastCGI z kilkoma dodatkowymi funkcjami i chociaż PHP-FPM nie jest podstawowym składnikiem instalacji Nginx, niektórzy dostawcy usług hostingowych uwzględniają go jako część standardowych środowisk hostingowych PHP.
Wielu hostingodawców wydaje zalecenia dla swoich klientów, wzywając do aktualizacji PHP do najnowszych wersji - 7.3.11 i 7.2.24, które zostały wydana tego samego dnia i zawierają poprawki dla CVE-2019-11043. Istnieją jednak właściciele stron internetowych, którzy nie mogą aktualizować PHP lub nie mogą odejść od PHP-FPM na inne CGI z powodu ograniczeń technicznych. Webmasterzy mogą również skorzystać ze standardowego narzędzia mod_security, aby blokować konkretne adresy URL witryn i zapobiegać tego typu nadchodzącym atakom - co opisano na blogu Wallarm. Ze względu na dostępność publicznego kodu PoC i prostotę wykorzystania tego błędu, właściciele witryn internetowych powinni sprawdzić ustawienia serwera i zaktualizować PHP tak szybko, jak to możliwe, jeśli oczywiście posiadają konfigurację podatną na atak.
Pokaż / Dodaj komentarze do: Paskudny błąd w PHP7 pozwala każdemu na zdalne wykonywanie kodu