Vulnerabilidad de día 0 en PHP permite hackear sitios del servidor web Nginx

0 0 lunes, 28 de octubre de 2019

Una investigación, expuso a un gran número de páginas web desarrolladas en PHP que utilizan el popular servidor web NGINX y que tengan habilitada la función PHP-FPM para un mejor rendimiento, son afectados por una vulnerabilidad de día 0 que podría permitir que atacantes no autorizados accedan al servidor del sitio web comprometido de forma remota.

La vulnerabilidad, rastreada como CVE-2019-11043, afecta a sitios web con ciertas configuraciones de PHP-FPM que, según los estudios, no es poco frecuente de ver en el panorama, esta podría explotarse fácilmente gracias a una prueba de concepto (PoC), la cual fue lanzada para todo el público.

PHP-FPM es una implementación alternativa de PHP FastCGI que ofrece un procesamiento avanzado y altamente eficiente para scripts escritos en el lenguaje de programación PHP. La vulnerabilidad principal es un problema "env_path_info" de corrupción de memoria de flujo en el módulo PHP-FPM, que al encadenarlo junto con otras fallas podría permitir a los atacantes ejecutar de forma remota código arbitrario en servidores web vulnerables.

El exploit está diseñado para apuntar específicamente a servidores vulnerables que ejecutan versiones de PHP 7 o superior, eso sí, el error de desbordamiento en PHP-FPM también afecta a versiones anteriores de PHP, permitiendo la modificación. En resumen, un sitio web es vulnerable si:
  1. NGINX está configurado para reenviar solicitudes de páginas PHP al procesador PHP-FPM,
  2. La directiva fastcgi_split_path_info está presente en la configuración e incluye una expresión regular que comienza con un símbolo '^' y termina con un símbolo '$',
  3. La variable PATH_INFO se define con la directiva fastcgi_param,
  4. No hay comprobaciones como try_files $ uri = 404 o if (-f $ uri) para determinar si un archivo existe o no en el sitio.

Esta lista de condiciones para una explotación exitosa, es bastante común debido a que son varios los proveedores de alojamiento web que utilizan estas configuraciones vulnerables y además, están disponibles en Internet como parte de muchos tutoriales para PHP FPM.

Nextcloud, uno de los proveedores de alojamiento web afectados, lanzó un aviso advirtiendo a sus usuarios que "la configuración predeterminada de Nextcloud NGINX también es vulnerable a este ataque" y recomendó a los administradores del sistema que tomen las medidas respectivas.

El parche de corrección se lanzó casi un mes después de que los investigadores informarán al equipo de desarrolladores de PHP. Dado que el exploit PoC ya está disponible y el parche fue lanzado hace bastante poco, es probable que los ciberdelincuentes ya hayan comenzado a escanear para buscar sitios web vulnerable en internet.

Por lo tanto, se recomienda encarecidamente a los usuarios que actualicen PHP a los últimas versiones PHP 7.3.11 y PHP 7.2.24.


REFERENCIA

Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Vulnerabilidad de día 0 en PHP permite hackear sitios del servidor web Nginx
Vulnerabilidad de día 0 en PHP permite hackear sitios del servidor web Nginx
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdMboAglba2hKhZ6GinGtaU2K-1fK4wgM7ieHmEC3KhKx6ZwI7GUj9vfVVcKvESSm7HOyAEtAeHa6Ot0CxIGHYoTuupUCFbqoSH0-b1dSYFCfu8QZTA_4FtdKRdDfqWJTx5J3IOfrfaDQ/s640/nginx+cve.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdMboAglba2hKhZ6GinGtaU2K-1fK4wgM7ieHmEC3KhKx6ZwI7GUj9vfVVcKvESSm7HOyAEtAeHa6Ot0CxIGHYoTuupUCFbqoSH0-b1dSYFCfu8QZTA_4FtdKRdDfqWJTx5J3IOfrfaDQ/s72-c/nginx+cve.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/10/vulnerabilidad-de-dia-0-en-php-permite.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/10/vulnerabilidad-de-dia-0-en-php-permite.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy