En nylig lappet sikkerhedshul i moderne versioner af PHP programmeringssprog, der bliver udnyttet i naturen til at tage over servere, ZDNet har lært fra threat intelligence firmaet Bad Pakker.
Sårbarhed er en fjernkørsel af programkode (RCE) i PHP 7, som er den nye gren af PHP det mest udbredte programmeringssprog, der anvendes til at opbygge hjemmesider.
Spørgsmålet, spores som CVE-2019-11043, lader angribere køre kommandoer på servere lige ved at få adgang til en specielt udformet URL-adresse.
Udnyttelse af bug er trivielt, og offentlige proof-of-concept exploit-kode er blevet offentliggjort på GitHub tidligere i denne uge.
“PoC script inkluderet i GitHub repository kan søge et mål web-serveren til at identificere, om det er eller ikke er sårbare ved at sende specielt udformede anmodninger,” siger Satnam Narang, Senior Security Response Manager på en Holdbar løsning. “Når målet er blevet identificeret, er angribere kan sende specielt udformede anmodninger ved at tilføje ‘?a= ” i URL-adressen til en sårbar web-server.”
CVE-2019-11043 jeg slå pic.twitter.com/CZCb9if65s
— ice (@ice43396118) 24 oktober 2019
Kun Nginx servere er berørt
Heldigvis er det ikke alle PHP-kan web-servere, der er påvirket. Kun NGINX servere med PHP-FPM aktiveret, er sårbare. PHP-FPM, eller FastCGI Proces Manager, er et alternativ PHP FastCGI gennemførelse med nogle ekstra funktioner.
Dog, mens PHP-FPM er ikke en standard komponent af Nginx installerer, nogle web-hosting-udbydere, omfatter det som en del af deres standard PHP-hosting miljøer.
Et sådant tilfælde er web-hosting-udbyder Nextcloud, der har udstedt en sikkerheds rådgivning til sine kunder på torsdag, 24 oktober, opfordrer kunder til at opdatere PHP til den nyeste version, den version 7.3.11 og 7.2.24, som var blevet udgivet på samme dag og i prisen rettelser til CVE-2019-11043. Mange andre web-hosting-udbydere, er også mistænkt for at køre sårbare Nginx+PHP-FPM combo.
Men der er også hjemmeside ejere, der ikke kan opdatere PHP eller ikke kan skifte fra PHP-FPM til en anden CGI-processor på grund af tekniske begrænsninger.
Dette blog-indlæg fra Wallarm, det selskab, der fandt PHP7 RCE, indeholder oplysninger om, hvordan webmastere, kan du bruge standard mod_security firewall værktøj til at blokere %0a (newline) bytes på hjemmeside url ‘ er, og hindre enhver indkommende angreb.
Wallarm krediteret sin sikkerhed forsker Andrew Danau for at opdage fejlen i løbet af en Capture The Flag (CTF) konkurrence i sidste måned.
På grund af tilgængeligheden af de offentlige PoC-kode og den enkelhed af at udnytte denne fejl betyder, at hjemmeside-ejerne rådes til at tjekke indstillinger for en server og PHP opdatering så hurtigt som muligt, hvis de kører med den sårbare konfiguration.
Sikkerhed
Store tyske producent stadig ned en uge efter at blive ramt af ransomware
NordVPN bekræfter data center brud
Google til at rulle ud opdater “i den kommende” måneder til at lave Pixel 4 Face Unlock-bypass
Hvorfor du skal tænke på sikkerhed i forsyningskæden (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan du sikrer din Apple-Kort (TechRepublic)
Relaterede Emner:
Servere
Sikkerhed-TV
Data Management
CXO
Datacentre