ແຈ້ງເຕືອນ ພົບຊ່ອງໂຫວ່ RCE ໃນ PHP7 ມີໂຄ້ດ (Code) PoC ອອກແລ້ວ ແນະນຳຜູ້ໃຊ້ໃຫ້ອັບເດດ
Posted by Meesaisak on October 29 2019 22:04:10

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່ RCE ໃນ PHP7 ມີ​ໂຄ້​ດ (Code) PoC ອອກ​ແລ້ວ​ ແນະນຳ​ຜູ້​ໃຊ້​ໃຫ້ອັບ​ເດດ

          ມີ​ການ​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ PHP ເວີ​ຊັ່ນ 7 ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຄຸນສົມບັດ (Feature) PHP-FPM ຊຶ່ງ​ສາມາດ​ນຳ​ໄປ​ສູ່​ການເຮັດ Remote Code Execution ຊຶ່ງ​ພົບ​ໂຄ້​ດ ​(Code) ສາ​ທິດ​ການ​ໃຊ້​ງານ​ແລ້ວ​ຫຼາຍ​ແຫ່ງ ​ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ກ່ຽວ​ຂ້ອງທີ່ໃຊ້ PHP ເວີ​ຊັ່ນດັ່ງກ່າວ ອັບ​ເດດດ່ວນ.

News Images: rce_php7.jpgcredit: thehackernews, Edited by TTT


Extended News

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່ RCE ໃນ PHP7 ມີ​ໂຄ້​ດ (Code) PoC ອອກ​ແລ້ວ​ ແນະນຳ​ຜູ້​ໃຊ້​ໃຫ້ອັບ​ເດດ 

          ມີ​ການ​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ PHP ເວີ​ຊັ່ນ 7 ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຄຸນສົມບັດ (Feature) PHP-FPM ຊຶ່ງ​ສາມາດ​ນຳ​ໄປ​ສູ່​ການເຮັດ Remote Code Execution ຊຶ່ງ​ພົບ​ໂຄ້​ດ ​(Code) ສາ​ທິດ​ການ​ໃຊ້​ງານ​ແລ້ວ​ຫຼາຍ​ແຫ່ງ ​ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ກ່ຽວ​ຂ້ອງທີ່ໃຊ້ PHP ເວີ​ຊັ່ນດັ່ງກ່າວ ອັບ​ເດດດ່ວນ.

News Images: rce_php7.jpg

credit: thehackernews, Edited by TTT

          ຊ່ອງ​ໂຫ​ວ່​ໝາຍ​ເລກ CVE-2019-11043 ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ Andrew Danau ໃນລະຫວ່າງ​ການ​ແຂ່ງ​ຂັນ Capture The Flag (ຂອງ​ຕ່າງ​ປະເທດ) ຊຶ່ງ​ມີ​ຜົນ​ກະທົບ​ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຟີ​ເຈີ PHP-FPM ທີ່​ມີ​ການ​ປະ​ກາດ​ຄ່າ Config ຕາມ​ຮູບ​ດ້ານ​ເທິງ​ຄື Regular Expression ແລະ Define PATH_INFO ດ້ວຍ fastcgi_param ລວມ​ເຖິງ​ບໍ່​ມີ​ການ​ກວດ URI ໃຫ້​ດີ​ພຽງ​ພໍ.

          ໂດຍ​ວິທີ​ການ​ໃຊ້​ງານ​ຊ່ອງ​ໂຫວ່​ກໍ່​ຄື ​ຄົນ​ຮ້າຍ​ສາມາດເອີ້ນ URL ທີ່​ສ້າງ​ຂຶ້ນ​ແບບ​ພິເສດ​ດ້ວຍ​ການ​ຕໍ່​ທ້າຍ ‘?a=’ ແລະ ​ນຳ​ໄປ​ສູ່​ການ​ລັກ​ຣັນ (Run) ​ໂຄ້​ດ​, ຢ່າງໃດ​ກໍ່ຕາມ ​ມີ​ການ​ເປີດ​ເຜີຍ​ຕົວ​ຢ່າງ​ໂຄ້​ດ PoC ແລ້ວ​ຫຼາຍ​ບ່ອນ​ໃນ GitHub ປັດຈຸບັນ​ໄດ້​ມີ​ການ​ອອກ​ແພັດແກ້​ໄຂ (Patch) ​ແລ້ວ​ໃນ​ເວີຊັ່ນ 7.3.11 ແລະ 7.2.24 ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້ງານ​ຮີບ​ອັບ​ເດດ, ສຳລັບ​ຜູ້​ໃຊ້​ງານ​ທີ່​ຍັງ​ບໍ່​ສະ​ດວກ​ອັບ​ເດດ PHP ຫຼື ​ປິດ PHP-FPM ກໍ່​ຍັງ​ພໍ​ມີ​ທາງ​ບັນ​ເທົາ​ບັນຫາ​ດ້ວຍ​ການ​ໃຊ້ WAF ບ​ລັອກ %0a (newline) ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ເຂົ້າ​ມາ.

ເອກະສານອ້າງອີງ :  

  1. https://www.zdnet.com/article/nasty-php7-remote-code-execution-bug-exploited-in-the-wild/
  2. https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html?
  3. https://www.techtalkthai.com/found-rce-vulnerability-in-php7-on-nginx/