Ernstig PHP-lek per ongeluk openbaar gemaakt
Een zeer ernstig beveiligingslek in de populaire scripttaal PHP waavoor nog geen patch is, is per ongeluk door het ontwikkelteam geopenbaard, waardoor miljoenen servers risico lopen om gehackt te worden. Via de PHP-CGI query string parameter kwetsbaarheid is het mogelijk om een remote shell te krijgen en op afstand willekeurige code uit te voeren.
Wie PHP met behulp van CGI draait is kwetsbaar, ongeacht wat het PHP-script doet. Veel hostingproviders zouden deze opstelling gebruiken.
De kwetsbaarheid was bij PHP aangemeld en in de bugtracker opgenomen. Door een fout van het PHP-ontwikkelteam was de bugmelding voor iedereen zichtbaar. Inmiddels is de kwetsbaarheid weer op privé gezet, maar de informatie is nu ook online te vinden. Op dit moment is er nog geen beveiligingsupdate beschikbaar.
Update 12:12
Het lek was begin januari door de Eindbazen ontdekt, een groep Nederlandse hackers. De kwetsbaarheid werd op 17 januari aan PHP gerapporteerd, inclusief een mogelijke update. Op 1 februari had PHP nog steeds niet gereageerd. De hackers wilden daarom het proces via het Computer Emergency Response Team (CERT) van CERT.org laten lopen.
Op 23 februari werd het CERT ingelicht, waarbij er op 5 april om een statusupdate werd gevraagd. In een reactie liet het CERT weten dat PHP nog aan een update werkte. Op 20 april vroegen de hackers het CERT om het lek te openbaren, tenzij er op korte termijn een update zou verschijnen. Een week later was het CERT inderdaad met een advisory bezig.
Op 2 mei bleek dat PHP een patch aan testen was, maar de ontwikkelaars meer tijd nodig hadden. De Nederlandse hackers gingen daarmee akkoord en wilde het openbaren van het lek uitstellen, totdat iemand bij PHP vandaag per ongeluk het lek openbaarde.
Impact
"De impact is groot. Er is momenteel geen fix vanuit PHP beschikbaar en het geeft remote code execution op kwetsbare servers. Daarnaast kan eenvoudig de broncode van elk PHP-script gelezen worden", aldus een woordvoerder van de Eindbazen tegenover Security.nl. Op het blog van de groep zijn verschillende onofficiële patches verschenen.
"Deze zouden geïnstalleerd kunnen worden totdat er een update van de leverancier komt. Onze updates kunnen mogelijk bepaalde opstellingen breken. Een andere optie is om tijdelijk servers uit te zetten, totdat er een fix beschikbaar is."
Wat betreft de blunder aan de kant van PHP is de woordvoerder ontsteld. "Dit had nooit mogen gebeuren natuurlijk. De fout is snel gecorrigeerd maar toen was het kwaad al geschied. Iemand heeft vervolgens de bugmelding gekopieerd en online gezet. Een fout is natuurlijk menselijk, maar deze kan grote gevolgen hebben", aldus de woordvoerder.
Lees de blogpost even, daar staat precies in hoe en waarom het vulnerable is.
SECOND NOTE: This problem only exists on server software that implements the rfc3875 behavior described above. Apache does this, but many other HTTP servers do not.
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Parameter ?-s geeft bij een doelsysteem de broncode inbeeld i.p.v. de pagina zelf.
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
http://www.kb.cert.org/vuls/id/520827
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Is er een troll??
Voor mij nu min 2 dus( ;-))
Parameter ?-s geeft bij een doelsysteem de broncode inbeeld i.p.v. de pagina zelf.
Waar dus ook database wachtwoorden instaan en als je de Eindbazen blog leest kom je erachter dat je met deze kwetsbaarheid ook code executie krijgen. Niet echt "weinig te zien en beleven".
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Ik vraag mij meer af hoeveel mensen Apache + PHP-CGI draaien, vooral als je voor PHP-CGI of PHP-FPM gaat dan gebruikt men vaak een alternatieve webserver zoals Nginx/Cherokee/Lighttpd.
Wat is de probability van dit ding eigenlijk?
Parameter ?-s geeft bij een doelsysteem de broncode inbeeld i.p.v. de pagina zelf.
Waar dus ook database wachtwoorden instaan en als je de Eindbazen blog leest kom je erachter dat je met deze kwetsbaarheid ook code executie krijgen. Niet echt "weinig te zien en beleven".
Sommige mensen zien gaten niet, of begrijpen niet goed hoe je zoiets zou kunnen misbruiken. Legio mogelijkheden in dit geval, dat is zeker.
Als je enkel nieuwschierig bent maar geen systeem hebt wat mogelijk kwetsbaar is.
Valt er zoals aangegeven "weinig te zien en beleven".
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Ja klopt, ik heb even maar wat meer gezocht zodat het wat duidelijker is. Nee heb ook geen voorbeeld nodig meer, naja om excution deel te gebruiken zou ik toch eerst moeten weten hoe.
Zelf gebruik ik idd PHP als Apache Module, daarnaast dacht ik dat er FastCGI op zat. Heb eigenlijk vrij weinig gekeken naar mn nieuwste VPS die ik gebruik als hosting, zal thuis eens kijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
