A linguagem de programação PHP sustenta grande parte da Internet. Ele forma a base de sistemas populares de gerenciamento de conteúdo como WordPress e Drupal, além de aplicativos da Web mais sofisticados, como o Facebook. Portanto, é uma excelente notícia sempre que os pesquisadores identificam uma vulnerabilidade de segurança dentro dela. Neste artigo, veja como hackers estão explorando um bug no PHP 7.
Hackers usando bug no PHP 7 para invadir servidores
Há alguns dias, Emil ‘Neex’ Lerner, um pesquisador de segurança da Rússia, divulgou uma vulnerabilidade de execução remota de código no PHP 7.
Com essa vulnerabilidade, que possui o CVE-ID de 2019-11043, um invasor pode forçar um servidor da web remoto a executar seu próprio código arbitrário simplesmente acessando um URL elaborada. O invasor só precisa adicionar “?a=” ao endereço do site.
Conforme apontado por Catalin Cimpanu no ZDNet, esse ataque reduz drasticamente a barreira para invadir um site, simplificando-o a ponto de até um usuário não técnico poder abusá-lo.
Felizmente, a vulnerabilidade afeta apenas os servidores que usam o servidor web NGINX com a extensão PHP-FPM. O PHP-FPM é uma versão aprimorada do FastCGI, com alguns recursos extras projetados para sites de alto tráfego.
Embora nenhum desses componentes seja necessário para usar o PHP 7, eles permanecem teimosamente comuns, principalmente em ambientes comerciais. Cimpanu ressalta que o NextCloud, um grande fornecedor de software de produtividade, usa PHP 7 com NGINX e PHP-FPM. Desde então, foi lançado um aviso de segurança para os clientes pedindo que eles atualizem, avisando-os sobre o problema e implorando que atualizem a instalação do PHP para a versão mais recente.
Os proprietários de sites que não conseguem atualizar sua instalação do PHP podem atenuar o problema definindo uma regra no firewall mod_security padrão do PHP. Instruções sobre como fazer isso podem ser encontradas no site da startup Wallarm.
Hackers a todo vapor
Essa vulnerabilidade tem todas as características de uma tempestade perfeita de segurança. Não são apenas vários ambientes em risco, mas também é trivialmente simples para um invasor explorar a vulnerabilidade. E, embora existam patches e soluções alternativas, como vimos acima, nem todos são particularmente proativos com sua segurança. Dois anos e meio após a divulgação do bug Heartbleed OpenSSL, mais de 200.000 servidores permaneceram vulneráveis.
Além disso, há evidências para sugerir que os hackers já estão explorando esse problema crítico do PHP. Por fim, a empresa de inteligência sobre ameaças BadPackets já confirmou ao site ZDNet que maus atores já estão usando essa vulnerabilidade para comandar servidores.
Neste artigo, você viu que hackers estão usando um bug no PHP 7 para invadir servidores web remotamente.
Fonte: The Next Web
Leia também:
Como instalar versões diferentes do PHP (5.6, 7.0, 7.1, 7.2, 7.3) no Ubuntu