Уязвимость в PHP-FPM

O vulnerabilitate recent plasată (CVE-2019-11043) în PHP este exploatată în mod activ de atacatori pentru a compromite serverele web NGINX, compania de inteligenţa despre amenințări Bad Packets informează despre exploatări reușite, serverele țintă trebuie să aibă funcția PHP-FPM (FastCGI Process Manager) activată, dar această combinație nu este atât de neobișnuită cum s-a crezut inițial.

Vulnerabilitatea afectează site-urile web care rulează pe serverele web NGINX activate cu Hypertext Preprocessor FastCGI Process Manager (PHP-FPM). Vulnerabilitatea este legată de lipsa verificărilor asupra configurațiilor NGINX și PHP-FPM. În anumite condiții, vulnerabilitatea poate fi exploatată pentru a realiza execuția de la distanță a codului.

PHP-FPM este o implementare alternativă a FastCGI (o modalitate de a executa scripturile mai rapid) cu funcții suplimentare, în special pentru site-urile cu trafic mare. Deși PHP-FPM nu este o componentă de bază în instalările NGINX, furnizorii de gazdă web o includ de obicei în mediile lor PHP. Emil Lerner a raportat CVE-2019-11043 la thread tracker de erori PHP și a creditat descoperirea vulnerabilității la unul dintre cercetătorii de securitate Wallarm, Andrew Danau.

Câteva zile înainte de asta, PoC a exploatat codul pentru acest defect - creat de Danau’s de la CTF şi cercetătorii Emil Lerner și Omar Ganiev, şi a fost publicat pe GitHub.

Sisteme potențial afectate:
NGINX Web server cu Hypertext Preprocessor FastCGI Process Manager (PHP-FPM)PHP: 7.1.0 pîna la 7.1.32, 7.2.0 pîna la 7.2.23, 7.3.0 pîna la 7.3.10.

Orange Moldova CERT recomandă actualizarea la versiunea PHP 7.1.33 or 7.2.24 sau 7.3.11.