Una nueva técnica de
explotación podría liberar vulnerabilidades críticas de deserialización en el
lenguaje de programación PHP.
Esta técnica permite dejar
abierta miles de aplicaciones web para llevar a cabo ataques de ejecución de
códigos remotos, como los sitios de administración de contenido WordPress y
Typo3.
La serialización es el proceso
de conversión de objetos de datos en una cadena simple, y el programa de ayuda
de la función de desinstalación vuelve a crear un objeto a partir de una
cadena.
ATAQUE
El atacante puede usar
funciones de bajo riesgo contra archivos Phar para desencadenar ataques de
deserialización sin requerir el uso de la función unserialize () en amplios
escenarios.
Estos pueden realizar un
ataque contra el sitio WordPress utilizando una cuenta de autor para tomar el
control total del servidor web.
Para lograr una explotación
exitosa, el atacante puede cargar un archivo Phar válido insertando el código
con carga maliciosa en el sistema de archivos local del objetivo y hacer que la
función de operación de archivo acceda usando el contenedor de flujo “par://”.
Al mismo tiempo, esta falla se
puede vulnerar incluso usando una imagen JPEG, que principalmente podría ser un
archivo Phar transformado en JPEG válido al modificar sus primeros 100 bytes.
Después de cargar el archivo
en el servidor de WordPress, el atacante puede emplear una función para
conectarse tanto con el archivo de imagen como con el archivo Phar, usando el
contenedor de flujo “phar: //", y finalmente ejecuta el código arbitrario
cuando el programa deserializa los metadatos.
La vulnerabilidad en Typo3 se
abordando en las versiones 7.6.30, 8.7.17 y 9.3.
Fuente: The Hacker News