Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zneužívaná zraniteľnosť v PHP-FPM umožňuje vzdialene vykonávať kód

05.11.2019
V PHP7 bola opravená kritická zraniteľnosť súvisiaca s podtečením premennej, ktorá umožňuje vzdialene vykonávať ľubovoľný kód. Zraniteľnosť je zneužiteľná na nginx serveroch, ktoré súčasne využívajú prostredie PHP-FPM. Výskumníci zverejnili funkčnú ukážku jej zneužitia a zraniteľnosť je aktuálne reálne zneužívaná. Odporúčame bezodkladnú aktualizáciu PHP, alebo aspoň vykonanie zmierňujúcich opatrení.

 

Dôsledky
Vzdialené vykonávanie kódu

Opis činnosti
CVE-2019-11043

Kritickú zraniteľnosť v programovacom jazyku na vytváranie webových stránok PHP 7 objavili bezpečnostní výskumníci Andrew Danau a Emil Lerner. Ide o bezpečnostnú chybu súvisiacu s podtečením premennej „env_path_info“ v PHP-FPM fpm_main.c, umožňujúcu vzdialené vykonávanie kódu. Výskumníci vytvorili a zverejnili funkčnú ukážku jej zneužitia (PoC).

Výskumník Lerner sa vyjadril, že zraniteľnosť vzniká pri určitých konfiguráciách, kedy webový server využíva nginx a PHP-FPM (FastCGI Process Manager). Po zneužití dokáže útočník vzdialene vykonať ľubovoľný kód. Aby bolo možné zraniteľnosť zneužiť, musia byť splnené isté podmienky:

  • Smernice o umiestnení nginx posielajú požiadavky do PHP-FPM
  • Je prítomná smernica fastcgi_split_path_info a obsahuje regulárny výraz začínajúci na „^“ a končiaci na „$“
  • Na priradenie premennej PATH _INFO sa používa smernica fastcgi _param
  • Nie sú prítomné žiadne kontroly na overovanie existencie súboru

Dané podmienky nie sú až také bežné, no pri niektorých softvéroch boli použité ako odporúčané nastavenia. Zverejnená funkčná ukážka zneužitia zraniteľnosti umožňuje zistiť, či je daný webový server zraniteľný alebo nie. Akonáhle útočníci zistia, že server je zraniteľný, môžu posielať webovému serveru špeciálne požiadavky s pridanými znakmi „?a=“ v URL adrese.

Zraniteľnosť je reálne zneužívaná.

Zraniteľné systémy
Systémy využívajúce nginx server spolu s PHP-FPM (FastCGI Process Manager)

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Odporúčaná je bezodkladná aktualizácia na najnovšie verzie PHP 7.3.11 a PHP 7.2.24. Ak nie je možné aktualizovať, dopad zraniteľnosti sa dá zjemniť vložením kontrol existencie súboru („try_files“, alebo „if“ podmienka).

Odkazy
https://www.tenable.com/blog/cve-2019-11043-vulnerability-in-php-fpm-could-lead-to-remote-code-execution-on-nginx
https://securityaffairs.co/wordpress/92997/hacking/cve-2019-11043-php7-flaw.html
https://www.zdnet.com/article/nasty-php7-remote-code-execution-bug-exploited-in-the-wild/



<< zoznam oznámení