Lỗ hổng bảo mật mới trong PHP có thể cho phép tin tặc tấn công các website chạy Nginx Server

Nếu bạn đang sử dụng PHP trên nền NGINX server và kích hoạt tính năng PHP-FPM để cải thiện hiệu suất, hãy cẩn thận với lỗ hổng mới này bởi nó có thể cho phép tin tặc xâm nhập vào trang web của bạn từ xa.

Lỗ hổng bảo mật mới trong PHP có thể cho phép tin tặc tấn công các website chạy Nginx Server - CyberSec365.org

Lỗ hổng bảo mật này (có mã hiệu là CVE-2019-11043) ảnh hưởng đến tất cả các trang web có kích hoạt chức năng PHP-FPM và có thể bị khai thác dễ dàng ngoài thực tế vì bằng chứng khái niệm khai thác (PoC) cho lỗ hổng này đã được phát hành công khai.

PHP-FPM là một chức năng thay thế cho FastCGI trong PHP, cung cấp khả năng xử lý nâng cao và hiệu quả cao cho các tập lệnh được viết bằng ngôn ngữ lập trình PHP

Lỗ hổng này nằm trong biến "env_path_info" của mođun "PHP-FPM" và việc kết hợp nó với các lỗ hổng khác có thể cho phép kẻ tấn công thực thi mã lệnh tùy ý từ xa trên các máy chủ web dễ bị tấn công.

Lỗ hổng CVE-2019-11043 này được phát hiện bởi Andrew Danau, một nhà nghiên cứu bảo mật tại Wallarm trong một cuộc thi Capture The Flag. Sau đó, Omar Ganiev và Emil Lerner, 2 nhà nghiên cứu của Andrew, đã hiện thực hóa và phát triển mã khai thác từ xa cho lỗ hổng này.

Những website PHP nào dễ bị tin tặc tấn công bởi lỗ hổng bảo mật này?

Mặc dù khai thác PoC được phát hành công khai được thiết kế để nhắm mục tiêu cụ thể các máy chủ dễ bị tổn thương chạy các phiên bản PHP 7+, nhưng lỗi tràn dòng PHP-FPM cũng ảnh hưởng đến các phiên bản PHP trước đó và có thể được vũ khí hóa theo một cách khác.

Tóm lại, một trang web dễ bị tấn công, nếu:

• NGINX được cấu hình để chuyển tiếp các yêu cầu trang PHP tới bộ xử lý PHP-FPM,
• Trong cấu hình PHP có sử dụng hàm fastcgi_split_path_info và tồn tại một biểu thức bắt đầu bằng ký tự "^", kết thúc bằng ký tự "$".
• Biến PATH_INFO được xác định bằng fastcgi_param,
• Không tiến hành các hàm kiểm tra như try_files $uri =404 hoặc if (-f $uri) để xác định sự tồn tại của một tệp.

Sau đây là ví dụ về một cấu hình NGINX và PHP-FPM dễ bị tổn thương:

Lỗ hổng bảo mật mới trong PHP có thể cho phép tin tặc tấn công các website chạy Nginx Server - CyberSec365.org

Ở đây, hàm fastcgi_split_path_info được sử dụng để chia URL của các trang web PHP thành hai phần, giá trị của một công cụ trợ giúp PHP-FPM để tìm hiểu tên tập lệnh và phần còn lại chứa thông tin đường dẫn của nó

Lỗ hổng bảo mật mới trong PHP có thể cho phép tin tặc tấn công các website chạy Nginx Server - CyberSec365.org

Lỗ hổng bảo mật mới trong PHP có thể cho phép tin tặc tấn công các website chạy Nginx Server - CyberSec365.org

Cập nhật lên PHP7 để vá lỗ hổng FPM

Một nhà cung cấp dịch vụ lưu trữ trên nền web bị ảnh hưởng bởi lỗ hổng bảo mật này chính là NextCloud. Trong thông báo của mình, NextCloud cho biết: "Cấu hình NGINX mặc định của NextCloud cũng bị ảnh hưởng bởi lỗ hổng bảo mật này". Do đó, các quản trị viên hệ thống nên tiến hành vá lỗ hổng ngay lập tức.

Hiện tại, một bản vá lỗi đã được phát hành sau khi các nhà nghiên cứu báo cáo nó cho nhóm phát triển PHP.

Hiện tại, mã khai thác PoC đã được phát hành công khai, do đó, bất kỳ ai cũng có thể bắt đầu rà quét để tìm kiếm và khai thác. Do đó, người dùng được khuyến nghị lập tức cập nhật lên phiên bản PHP 7.3.11 và 7.2.24 mới nhất để không trở thành nạn nhân của các cuộc tấn công này.

Đại Phát (Theo THN)