RU
29.10.2019

Vulnerabilitatea PHP-FPM

O vulnerabilitate recent plasată (CVE-2019-11043) în PHP este exploatată în mod activ de atacatori pentru a compromite serverele web NGINX, compania de inteligenţa despre amenințări Bad Packets informează despre exploatări reușite, serverele țintă trebuie să aibă funcția PHP-FPM (FastCGI Process Manager) activată, dar această combinație nu este atât de neobișnuită cum s-a crezut inițial.

Vulnerabilitatea afectează site-urile web care rulează pe serverele web NGINX activate cu Hypertext Preprocessor FastCGI Process Manager (PHP-FPM). Vulnerabilitatea este legată de lipsa verificărilor asupra configurațiilor NGINX și PHP-FPM. În anumite condiții, vulnerabilitatea poate fi exploatată pentru a realiza execuția de la distanță a codului.

PHP-FPM este o implementare alternativă a FastCGI (o modalitate de a executa scripturile mai rapid) cu funcții suplimentare, în special pentru site-urile cu trafic mare. Deși PHP-FPM nu este o componentă de bază în instalările NGINX, furnizorii de gazdă web o includ de obicei în mediile lor PHP. Emil Lerner a raportat CVE-2019-11043 la thread tracker de erori PHP și a creditat descoperirea vulnerabilității la unul dintre cercetătorii de securitate Wallarm, Andrew Danau.

Câteva zile înainte de asta, PoC a exploatat codul pentru acest defect - creat de Danau’s de la CTF şi cercetătorii Emil Lerner și Omar Ganiev, şi a fost publicat pe GitHub.

Sisteme potențial afectate:
NGINX Web server cu Hypertext Preprocessor FastCGI Process Manager (PHP-FPM)PHP: 7.1.0 pîna la 7.1.32, 7.2.0 pîna la 7.2.23, 7.3.0 pîna la 7.3.10.

Orange Moldova CERT recomandă actualizarea la versiunea PHP 7.1.33 or 7.2.24 sau 7.3.11.


Buletin informativ

Primeşte ştiri de top direct pe email