PHP-gat laat remote malware binnen

door

php

door

Nieuws - Scripttaal PHP heeft een groot gat in zich waarmee malafide code op afstand is uit te voeren op servers. PHP.net werkt al maanden aan een fix, maar het lek ligt nu op straat.

Het gat, dat de CVE-code 2012-1823 heeft meegekregen, zit in de CGI-modus (common gateway interface) van PHP. Kwaadwillenden kunnen hiermee eigen code laten uitvoeren op webservers die PHP draaien. Dit kan alleen als de webserver een “nogal obscuur deel van de CGI-specificatie volgt", wat in ieder geval zo is bij het veelgebruikte Apache. Systemen die de variant FastCGI draaien, zijn niet kwetsbaar.

Workarounds al wel beschikbaar

Details over de bug zijn per ongeluk geopenbaard op forumsite Reddit, waarna de oorspronkelijke ontdekkers (die zich De Eindbazen noemen) hebben besloten hun vondst te openbaren. De gedetailleerde uitleg over dit 0-day gat in PHP zijn te vinden op het securityblog van De Eindbazen. Daarin zijn ook workarounds opgenomen om de kwetsbaarheid af te dekken voor misbruik.

Dit in afwachting van een officiële fix van de makers van PHP. Zij werken daar echter al enkele maanden aan. Het gat is namelijk in januari dit jaar al ontdekt en gebruikt om op hackersconferentie Nullcon het scorebord te hacken. Enkele dagen laten hebben de ontdekkers het securityteam van PHP.net ingelicht.

Nog geen fix

Terwijl er sindsdien diverse nieuwe PHP-versies zijn verschenen, bevatten die niet een oplossing voor dit specifieke gat. In de recente updates zijn wel andere kritieke gaten gedicht. Het is niet bekend wanneer een officiële fix af is en uitkomt. Een voorlopige patch is eind april intern wel getest door de ontwikkelaars van PHP, heeft beveiligingsorgaan CERT laten weten aan de ontdekkers van het gat.

Nu blijkt het interne bugrapport van PHP.net op internet te zijn gekomen, doordat iemand het ten onrechte had gemarkeerd als 'publieke informatie'. Kwaadwillenden kunnen zich nu dus op dit openstaande gat storten om servers te kapen of besmetten. Om dat gevaar in te dammen, hebben de ontdekkers besloten om openheid van zaken te geven zodat systeembeheerders zelf beschermende maatregelen kunnen nemen.

Malware of DoS

In het uitgelekte bugrapport, gedateerd op 2 mei, schrijft ontwikkelaar Michael Orlando dat het PHP-team zich op dit moment "niet bewust is van een praktische oplossing voor dit probleem". Hij merkt ook op dat een aanvaller op afstand, zonder authenticatie, niet alleen eigen code zou kunnen uitvoeren maar ook denial-of-service (DoS) valt te veroorzaken. Webservers zijn dus ook simpelweg plat te leggen via dit gat.

De voor de hand liggende 'praktische oplossing' moet misschien in het verleden worden gezocht. De Eindbazen merken in hun uitleg op dat PHP zich niet goed aan de 'richtlijnen' (RFC) voor CGI houdt, sinds een code-aanpassing die de ontwikkelaars in 2004 hebben doorgevoerd. Daarbij is code verwijderd uit PHP dat juist bescherming zou kunnen bieden.

Update:
Informatie uit het uitgelekte PHP-bugrapport toegevoegd. Plus dat de oorsprong van dit 0-day gat al in 2004 ligt, bij een verwijdering van code door de ontwikkelaars van PHP.

Lees meer over:

code, PHP, malware, remote, 0-day

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.
promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.