Язык программирования PHP лежит в основе большей части Интернета. Он лежит в основе популярных систем управления контентом, таких как WordPress и Drupal, а также более сложных веб-приложений, таких как Facebook (своего рода). Поэтому каждый раз, когда исследователи обнаруживают в нем уязвимость безопасности, это очень важно.

Пару дней назад Эмиль Ниекс Лернер, исследователь безопасности из России, обнаружил уязвимость удаленного выполнения кода в PHP 7 — последней версии чрезвычайно популярного языка веб-разработки.

С помощью этой уязвимости с CVE-ID 2019–11043 злоумышленник может заставить удаленный веб-сервер выполнить свой собственный произвольный код, просто обратившись к созданному URL-адресу. Злоумышленнику нужно только добавить ?a= к адресу веб-сайта, а затем их полезную нагрузку.

Как указал Каталин Чимпану в ZDNe t, эта атака резко снижает входной барьер для взлома веб-сайта, упрощая его до такой степени, что даже нетехнический пользователь может злоупотребить им.

К счастью, уязвимость затрагивает только серверы, использующие веб-сервер NGINX с расширением PHP-FPM. PHP-FPM — это усовершенствованная версия FastCGI с несколькими дополнительными функциями, разработанными для веб-сайтов с высокой посещаемостью.

Хотя ни один из этих компонентов не является необходимым для использования PHP 7, они остаются широко распространенными, особенно в коммерческих средах. Чимпану отмечает, что NextCloud, крупный поставщик программного обеспечения для повышения производительности, использует PHP7 с NGINX и PHP-FPM. С тех пор он выпустил рекомендации по безопасности для клиентов, призывая их обновить, предупреждая их о проблеме, и умоляя их обновить установку PHP до последней версии.

Владельцы сайтов, которые не могут обновить свою установку PHP, могут смягчить проблему, установив правило в стандартном брандмауэре PHP mod_security. Инструкцию, как это сделать, можно найти на сайте стартапа appsec Wallarm.

Эта уязвимость имеет все признаки идеального штурма безопасности. Под угрозой не только несколько сред, но и злоумышленнику очень просто воспользоваться этой уязвимостью. И хотя в настоящее время существуют исправления и обходные пути, как мы видели ранее, не все особенно активно заботятся о своей безопасности. Спустя два с половиной года после раскрытия широко разрекламированной ошибки OpenSSL Heartbleed более 200 000 серверов оставались уязвимыми.

И есть основания полагать, что хакеры уже используют эту критическую проблему PHP. Компания BadPackets, занимающаяся разведкой угроз, уже подтвердила ZDNet, что злоумышленники уже используют эту уязвимость для захвата серверов.

Все станет еще хуже, прежде чем станет лучше.

Неприятная ошибка удаленного выполнения кода PHP7, используемая в сети ZDNet

Далее чтения: Tesla выпускает черепицу Solar Roof V3, которая теперь готова к использованию в прайм-тайм

Первоначально опубликовано на https://thenextweb.com 27 октября 2019 г.