פגיעות PHP-fpm המאפשרת ביצוע קוד מרחוק בשרת

זמין מהדורות מתקנות של PHP 7.3.11, 7.1.33 ו-7.2.24, שבהן חוסלו קריטי פגיעות (CVE-2019-11043) בתוסף PHP-FPM (FastCGI Process Manager), המאפשר לך לבצע מרחוק את הקוד שלך במערכת. כדי לתקוף שרתים המשתמשים ב-PHP-FPM בשילוב עם Nginx להפעלת סקריפטים של PHP, זה כבר זמין לציבור עובד לְנַצֵל.

ההתקפה אפשרית בתצורות nginx שבהן העברה ל-PHP-FPM מתבצעת על ידי הפרדת חלקים של כתובת האתר באמצעות "fastcgi_split_path_info" והגדרת משתנה הסביבה PATH_INFO, אך מבלי לבדוק תחילה את קיומו של הקובץ באמצעות "try_files $fastcgi_script_name" ההוראה או ה-"if (!-f $) document_root$fastcgi_script_name)". הבעיה היא גם מופיע בהגדרות המוצעות עבור פלטפורמת NextCloud. לדוגמה, תצורות עם מבנים כמו:

מיקום ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^ (. +? \. php) (/.*) $;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}

אתה יכול לעקוב אחר פתרון הבעיה בערכות הפצה בדפים הבאים: דביאן, רהל, אובונטו, SUSE/openSUSE, FreeBSD, קשת, פדורה. כדרך לעקיפת הבעיה, תוכל להוסיף בדיקה לקיומו של קובץ ה-PHP המבוקש לאחר השורה "fastcgi_split_path_info":

try_files $fastcgi_script_name =404;

הבעיה נגרמת משגיאה בעת מניפולציה של מצביעים בקובץ sapi/fpm/fpm/fpm_main.c. בעת הקצאת מצביע, ההנחה היא שהערך של משתנה הסביבה PATH_INFO חייב להכיל קידומת התואמת את הנתיב לסקריפט PHP.
אם ההנחיה fastcgi_split_path_info מציינת פיצול נתיב הסקריפט באמצעות ביטוי רגולרי רגיש לשורת חדשה (לדוגמה, דוגמאות רבות מציעות שימוש ב-"^(.+?\.php)(/.*)$"), אז תוקף יוכל להבטיח ש- הערך הריק נכתב למשתנה הסביבה PATH_INFO. במקרה זה, בהמשך הביצוע הוא כותב path_info[0] לאפס וקורא ל-FCGI_PUTENV.

על ידי בקשת כתובת URL מעוצבת בצורה מסוימת, תוקף יכול להשיג הסטה של ​​מצביע path_info לבייט הראשון של המבנה "_fcgi_data_seg", וכתיבת אפס לבייט זה תוביל לתנועה של ה-"char* pos" מצביע לאזור זיכרון שנמצא בעבר. הבא שנקרא FCGI_PUTENV יחליף את הנתונים בזיכרון זה עם ערך שהתוקף יכול לשלוט בו. הזיכרון שצוין מאחסן גם את הערכים של משתני FastCGI אחרים, ועל ידי כתיבת הנתונים שלהם, תוקף יכול ליצור משתנה PHP_VALUE פיקטיבי ולהשיג ביצוע של הקוד שלו.

מקור: OpenNet.ru