Эксперты компании Wallarm рассказали об RCE-уязвимости, обнаруженной в составе PHP 7, новой ветки PHP. Проблема имеет идентификатор CVE-2019-11043, она позволяет атакующему выполнять произвольные команды на уязвимых серверах, просто обращаясь к специально созданному URL-адресу.
На GitHub уже доступен PoC-эксплоит для этой уязвимости, а ее эксплуатация не требует глубоких технических познаний и серьезной подготовки. Эксплоит проверяет целевой сервер на предмет уязвимости, а затем отправляет ему специально созданные запросы, добавляя «?a=» к URL-адресу.
CVE-2019-11043 i'm beat pic.twitter.com/CZCb9if65s
— ice (@ice43396118) October 24, 2019
Исследователи поясняют, что проблема CVE-2019-11043, к счастью, представляет угрозу только для веб-серверов с поддержкой PHP и только для серверов nginx поддержкой PHP-FPM или FastCGI Process Manager — альтернативной реализацией PHP FastCGI с некоторыми дополнительными функциями. Также для эксплуатации бага потребуется соблюдение еще ряда условий.
Хотя PHP-FPM не является стандартным компонентом Nginx, некоторые хостинг-провайдеры включают его в свои стандартные среды. К примеру, провайдер Nextcloud уже выпустил предупреждение для своих клиентов, призывая их как можно скорее обновить PHP до версий 7.3.11 и 7.2.24, где проблема CVE-2019-11043 уже исправлена. Однако Nextcloud – лишь один из многих. Из-за наличия готового PoC-эксплоита и простоты использования уязвимости владельцам сайтов рекомендуется проверить настройки серверов и не откладывать обновление PHP.