Een recent gepatcht lek in de moderne versie van de PHP-programmeertaal wordt misbruikt in het wild over te nemen servers, ZDNet heeft geleerd van threat intelligence bedrijf Slecht Pakketten.
De kwetsbaarheid is een uitvoering van externe code (RCE) in PHP 7, de nieuwe tak van PHP, is de meest gebruikte programmeertaal gebruikt om websites te bouwen.
Het probleem, gevolgd CVE-2019-11043, laat aanvallers opdrachten uitvoeren op servers gewoon door de toegang tot een speciaal gemaakte URL.
Het benutten van de bug is triviaal, en openbaar proof-of-concept exploit code is gepubliceerd op GitHub eerder deze week.
“De PoC script opgenomen in de GitHub repository kan een query uitvoeren op een web server te identificeren of het wel of niet kwetsbaar is door het verzenden van speciaal vervaardigde aanvragen,” zegt Satnam Narang, Senior Security Response Manager bij Houdbaar is. “Eenmaal een kwetsbaar doelwit is vastgesteld, kunnen aanvallers sturen speciaal vervaardigde verzoeken door toe te voegen dat ‘?a= ” in de URL van een kwetsbare web-server.”
CVE-2019-11043 ik ben beat pic.twitter.com/CZCb9if65s
— ijs (@ice43396118) 24 oktober 2019
Alleen Nginx getroffen servers
Gelukkig zijn niet alle PHP-staat webservers worden beïnvloed. Alleen NGINX servers met PHP-FPM ingeschakeld zijn kwetsbaar. PHP-FPM, of Pg Proces Manager, is een alternatief PHP Pg uitvoering met enkele extra functies.
Echter, terwijl PHP-FPM is niet een standaard onderdeel van Nginx installeert, sommige web hosting providers opnemen als onderdeel van hun standaard PHP hosting omgevingen.
Een dergelijk geval is de web hosting provider Nextcloud, die een beveiligingsadvies aan haar klanten op donderdag, oktober 24, spoort klanten aan om de update van PHP naar de nieuwste release, versie 7.3.11 en 7.2.24, die werd uitgebracht op dezelfde dag en fixes voor CVE-2019-11043. Vele andere web hosting providers worden ook verdacht van het uitvoeren van de kwetsbare Nginx+PHP-FPM combo.
Maar er zijn ook website eigenaren die geen update van PHP of niet kunt wisselen van PHP-FPM naar een andere CGI-processor, door de technische beperkingen.
Deze blog post van Wallarm, het bedrijf dat de gevonden PHP7 RCE, inclusief instructies over hoe webmasters kunnen gebruik maken van de standaard mod_security firewall utility te blokkeren %0a (newline) bytes website Url, en te voorkomen dat elke inkomende aanvallen.
Wallarm gecrediteerd voor de security-onderzoeker Andrew Danau voor het ontdekken van de fout tijdens een Capture The Flag (CTF) competitie in de laatste maand.
Door de beschikbaarheid van de openbare PoC-code en de eenvoud van de exploitatie van deze bug, website-eigenaren worden geadviseerd om te controleren server instellingen en update PHP zo snel mogelijk als ze de kwetsbare configuratie.
Veiligheid
Grote duitse fabrikant nog steeds naar beneden een week na geraakt door ransomware
NordVPN bevestigt data center inbreuk
Google met de uitrol van update ‘in de komende maanden op te lossen Pixel 4 Face Unlock bypass
De reden waarom je nodig hebt om na te denken over de veiligheid van de toeleveringsketen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Het beveiligen van uw Apple-Kaart (TechRepublic)
Verwante Onderwerpen:
Servers
Beveiliging TV
Data Management
CXO
Datacenters