Exploit für schwerwiegende Lücke in PHP7 erlaubt Angriffe aus der Ferne

Für eine kürzlich gepatchte Sicherheitslücke in der Programmiersprache PHP7 steht nun ein Proof of Concept (PoC) zur Verfügung. Der Sicherheitsanbieter Bad Packets weißt darauf hin, dass die Anfälligkeit benutzt werden kann, um aus der Ferne Schadcode einzuschleusen und die Kontrolle über einen Server zu übernehmen, auf dem PHP7 ausgeführt wird.

Die Anfälligkeit mit der Kennung CVE-2019-11043 erlaubt es einem Angreifer, Befehle auf einem Web-Server auszuführen. Der Server wiederum muss nur dazu gebracht werden, auf eine speziell gestaltete URL zuzugreifen.

Seit Anfang der Woche steht Beispielcode für den Exploit auf GitHub zur Verfügung. Um die Schwachstelle auszunutzen, werden offenbar keine besonderen technischen Kenntnisse benötigt. „Das im GitHub-Repository enthaltene PoC-Skript kann einen Ziel-Webserver abfragen, um festzustellen, ob er anfällig ist oder nicht, indem es speziell gestaltete Anfragen sendet“, erklärte Satnam Narang, Senior Security Response Manager bei Tenable. “ Sobald ein gefährdetes Ziel identifiziert wurde, können Angreifer speziell gestaltete Anfragen senden, indem sie ‚?a=‘ in der URL an einen gefährdeten Webserver anhängen.“

Allerdings sind nicht alle PHP-fähigen Webserver anfällig. Die Lücke beschränkt sich auf NGINX-Server, auf denen PHP-FPM aktiviert ist. PHP-FPM, wobei FPM für FastCGI Process Manager steht, ist eine alternative Implementierung von PHP, die über zusätzliche Funktionen verfügt. Zudem ist PHP-FPM keine Standkomponente von NGINX-Installationen. Einige Hosting-Anbieter bauen sie jedoch ab Werk in ihre Hosting-Umgebungen ein.

Dazu gehört Nextcloud, das Ende vergangener Woche seine Kunden mit einem Security Advisory auf das Problem aufmerksam machte. Darin rät das Unternehmen seinen Kunden dringend, auf eines der aktuellen Releases 7.3.11 oder 7.2.24 umzusteigen. Wahrscheinlich führen aber auch noch weitere Anbieter die anfällige Kombination aus NGINX und PHP-FPM aus.

Entdeckt wurde die Anfälligkeit von Andrew Danau vom Sicherheitsanbieter Wallarm. Demnach gibt es auch einen Workaround für Websitebetreiber, die aus technischen Gründen derzeit ihre PHP7-Installationen nicht aktualisieren können. Dafür muss die Firewall Standard Mod_Security so konfiguriert werden, dass sie „%0a“-Bytes in URLS blockiert und so alle eingehenden Angriffe verhindert.

Websitebetreiber sollten aufgrund des verfügbaren Exploits und Einfachheit eines Angriffs ihrer Servereinstellungen prüfen und falls möglich ihre PHP-Installationen schnellstmöglich aktualisieren.

WEBINAR

BlackBerry CylancePERSONA – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft stellt neue Funktionen für Chromium Edge vor

Darunter ist ein Passwort-Monitor. Er gleicht gespeicherte Kennwörter mit Datenfunden aus dem Dark Web ab. Die Tab-Leiste zeigt Edge künftig…

2 Stunden ago

Windows 10: Patches sollen Verbindungsprobleme beheben

Die Patches für die betroffenen Windows-10-Versionen werden nicht über die Update-Funktion ausgeliefert. Stattdessen ist eine manuelle Installation möglich.

3 Stunden ago

Inoffizieller Patch für Windows-Zero-Day-Lücke veröffentlicht

Er steht derzeit nur für Windows 7 und Server 2008 R2 zur Verfügung. Der Patch verhindert die Nutzung der anfälligen…

3 Stunden ago

Bericht: US-Behörden nutzen Standortdaten von mobilen Anzeigen für Covid-19-Forschung

Die Daten stehen offenbar der Seuchenbehörde CDC zur Verfügung. Sie sind anonymisiert und sollen Menschenansammlungen aufdecken. Behörden wollen aber auch…

6 Stunden ago

Trotz eigener App Gallery: Huawei plant Rückkehr zu Google Services

Mit den eigenen Mobilie Services will Huawei Nutzern künftig mehr Auswahl bieten. Die App Gallery wird Lücken im Angebot aber…

8 Stunden ago

Cloud-Angebot für Consumer: Microsoft 365 löst Office 365 ab und bringt neue Funktionen

Die Preise übernehmen Microsoft 365 Single und Family von ihren Vorgängern. Neu sind unter anderem Consumer-Funktionen in der Teams-App. Im…

9 Stunden ago