Remote code execution-fout in PHP in het wild misbruikt

De fout, gevolgd onder code CVE-2019-11043, doet zich voor in een nieuwere aftakking van PHP. Het gaat om een remote code execution-kwetsbaarheid in PHP 7, meldt ZDNet. Daarmee kunnen aanvallers op afstand code uitvoeren op een getroffen systeem. 

Het probleem doet zich specifiek voor op NGINX-servers die PHP-FPM aan hebben staan. PHP-FPM is een alternatieve implementatie van PHP FactCGI, met wat extra functies speciaal voor websites met veel verkeer. Andere servers zijn niet getroffen.

PHP-FPM is geen standaard component binnen installaties van NGINX, maar sommige hosting-aanbieders voegen dit wel toe als onderdeel van hun standaard hosting-omgeving. 

Door iedereen te misbruiken

Hoewel dus niet alle web servers getroffen zijn, is de kwetsbaarheid wel een groot probleem. De fout is namelijk erg eenvoudig te misbruiken.

Een aanvaller hoeft alleen "?a=" aan een URL te plakken, gevolgd door de payload om code uit te voeren op de server. Dat betekent dat ook mensen zonder veel technische kennis de fout kunnen misbruiken. 

Er is ook al een proof-of-concept-code van het misbruik van de kwetsbaarheid op GitHub geplaatst. 

Snel updaten

Gebruikers van NGINX-servers met PHP-FPM worden aangeraden om snel te updaten naar nieuwe versies van PHP.

Er zijn echter website-eigenaren die dit niet kunnen, vanwege technische barrières. Wallerm, het bedrijf dat de fout vond, heeft daarom een uitleg op zijn website geplaatst voor deze gebruikers om zichzelf te beschermen tegen aanvallen.