Lợi dụng lỗi của PHP7, hacker tấn công web servers từ xa.

PHP được biết đến như một ngôn ngữ lập trình rất nổi tiếng, nó được dùng để tạo ra các CMS (hệ thống quản lý nội dung) như WordPress và Drupal. Thậm chí là những ứng dụng web phức tạp như Facebook chẳng hạn. Cũng chính vì vậy mà những lỗ hổng của nó cũng được cộng đồng quan tâm khai thác hơn. 

Vài ngày trước, Emil Neex Lerner, một chuyên gia bảo mật người Nga vừa công bố lỗi “remote-code execution của PHP7” 

Với lỗi bảo mật này, cụ thể là the CVE-ID of 2019-11043, kẻ tấn công web server từ xa sẽ thực thi arbitrary code một cách đơn giản bằng một đoạn URL được tạo sẵn. Kẻ tấn công chỉ cần cho thêm “?a=” vào địa chỉ website, kèm với payload của họ.

Catalin Cimpanu của ZDNet từng chỉ ra rằng, lỗi này có thể khiến cho việc hack trở nên ngày càng dễ dàng hơn, đơn giản đến mức ai cũng có thể “thực hành” làm thử. 

May mắn thay, lỗi này chỉ ảnh hưởng tới các server dùng NGINX web server với PHP-FPM extension. PHP-FPM là phiên bản cải tiến của FastCGI, với một vài tính năng được thiết kế riêng cho các website có lượt truy cập lớn. 

Thực tế thì các components không thật sự cần thiết cho việc dùng PHP 7, nhưng chúng vẫn được phổ cập rộng rãi cho các sản phẩm đã được đưa vào thương mại hóa. Cimpanu còn chỉ ra, Nextcloud, một công ty cung cấp productivity software hiện đang dùng PHP7 với NGINX và PHP-FPM, đang cảnh báo người dùng của mình, yêu cầu họ update cập nhật mới để tránh lỗi này. 

Các chủ website không thể tự cập nhật PHP có thể hạn chế lỗi bằng việc set lại rule trong phần PHP mod_security firewall. Hướng dẫn cụ thể có thể xem thêm tại đây: Wallarm. 

TechTalk via Thenextweb