Una vulnerabilidad crítica recientemente descubierta en servidores con PHP7 con PHP-FPM habilitado, permite a los atacantes ejecutar comandos en los servidores, accediendo a una URL específicamente diseñada.

PHP-FPM es una implementación alternativa de PHP FastCGI que ofrece un procesamiento avanzado y altamente eficiente para scripts escritos en lenguaje de programación PHP.

Se agrega contenido sobre la directiva fastcgi_split_path_info utilizando el carácter de nueva línea de manera que la función de división eventualmente deje vacía  la información de la ruta, luego aprovechando que existe un puntero en el código FPM que supone incorrectamente que env_path_info tiene un prefijo igual a la ruta del script php sin verificar realmente la existencia del archivo en el servidor, con esto el atacante puede explotar el problema para sobrescribir los datos. en la memoria solicitando URL especialmente diseñadas de los sitios web específicos.

Un sitio web es vulnerable si:

  • La directiva fastcgi_split_path_info está presente en la configuración e incluye una expresión regular que comienza con un símbolo ‘^’ y termina con un símbolo ‘$’.
  • La variable PATH_INFO se define con la directiva fastcgi_param.
  • No hay comprobaciones como try_files $ uri = 404 o if (-f $ uri) para determinar si un archivo existe o no

La vulnerabilidad ha sido registrado como CVE-2019-11043, los desarrolladores, ya han lanzado parches en las nuevas versiones de PHP, por lo que se recomienda realizar la actualización de manera controlada.

Puntos objetivos de la amenaza

  • Todos los servidores que usen PHP con la característica PHP-FPM habilitada.
  • Servidores donde NGINX está configurado para reenviar solicitudes de páginas PHP al procesador PHP-FPM

Nuestras recomendaciones

  • Proceder con actualizar PHP  de manera controlada a las siguientes versiones: 7.1.33, 7.2.24, 7.3.11.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .