Una recente patch falla di sicurezza nelle versioni moderne del linguaggio di programmazione PHP è l’essere sfruttata per prendere in consegna i server, ZDNet ha imparato da threat intelligence impresa di Pacchetti non validi.
La vulnerabilità è una esecuzione di codice remoto (RCE) in PHP 7, il nuovo ramo di PHP, il più comune linguaggio di programmazione utilizzato per creare siti web.
Il problema, ha rintracciato come CVE-2019-11043, consente agli aggressori di eseguire comandi sul server solo accedendo appositamente predisposto URL.
Sfruttando il bug è banale, e la pubblica proof-of-concept codice di exploit è stato pubblicato su GitHub all’inizio di questa settimana.
“Il PoC script incluso nel repository GitHub possibile eseguire query su un server web di destinazione per determinare se o non si è vulnerabili mediante l’invio di richieste appositamente predisposte,” dice Satnam Narang, Senior Security Response Manager presso Sostenibile. “Una volta un bersaglio vulnerabile è stato individuato, gli hacker possono inviare le richieste appositamente predisposte aggiungendo ‘?a=’ URL di un vulnerabili server web.”
CVE-2019-11043 sto beat pic.twitter.com/CZCb9if65s
— ghiaccio (@ice43396118) 24 ottobre 2019
Solo Nginx server interessati
Fortunatamente, non tutti i PHP-in grado di server web, sono coinvolti. Solo NGINX server con PHP-FPM abilitato sono vulnerabili. PHP-FPM, o FastCGI Process Manager, è un’alternativa alla implementazione PHP FastCGI con alcune funzionalità aggiuntive.
Tuttavia, mentre per PHP-FPM non è un componente standard di Nginx installa, alcuni provider di web hosting includere come parte del loro standard di PHP ambienti di hosting.
Uno di questi casi è il web hosting provider di Nextcloud, che ha emesso un avviso di sicurezza per i propri clienti di giovedì 24 ottobre, invitando i clienti ad aggiornare PHP alla versione più recente, versioni 7.3.11 e 7.2.24, in cui è stato rilasciato il giorno stesso e correzioni incluse per CVE-2019-11043. Molti altri fornitori di web hosting sono anche sospettati di esecuzione del vulnerabili Nginx+PHP-FPM combo.
Ma ci sono anche i proprietari di siti web che non possono aggiornare il PHP o non può passare da PHP-FPM per un altro CGI processore a causa di limitazioni tecniche.
Questo post del blog di Wallarm, la società che ha rilevato l’PHP7 RCE, include le istruzioni su come i webmaster possono utilizzare lo standard mod_security firewall, utility per bloccare %0a (newline) byte di Url di siti web e prevenire eventuali attacchi in arrivo.
Wallarm accreditato la sua sicurezza ricercatore Andrew Danau per scoprire il bug durante un Capture The Flag (CTF) concorso il mese scorso.
Grazie alla disponibilità del pubblico PoC codice e la semplicità di sfruttare questo bug, proprietari di siti web sono invitati a verificare le impostazioni del server e aggiornare il PHP il più presto possibile se si esegue il vulnerabile di configurazione.
Sicurezza
Importante produttore tedesco ancora giù una settimana dopo essere stato colpito da ransomware
NordVPN conferma data center violazione
Google per il roll-out dell’aggiornamento ‘nei prossimi mesi per risolvere Pixel 4 Face Unlock di bypass
Perché hai bisogno di pensare alla sicurezza della catena di approvvigionamento (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere il vostro Apple Card (TechRepublic)
Argomenti Correlati:
Server
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati