CVE-2019-11043: PHP 7 RCE漏洞分析
CVE-2019-11043: PHP 7 RCE漏洞分析
研究人员在PHP 7中找出有个远程代码执行(RCE)漏洞,该漏洞CVE编号为CVE-2019-11043。攻击者利用该漏洞只需要访问通过精心伪造的URL就可以在服务器上运行命令。
漏洞简介
该漏洞位于PHP-FPM模块的env_path_info函数,漏洞实际上是有个内存下溢破坏漏洞,攻击者利用该漏洞结合其他漏洞利用可以让攻击者在有漏洞的web网站上执行任意代码。该漏洞影响的是PHP-FPM的特定配置的网站。PHP-FPM是一种可选的PHP FastCGI实现,可以为PHP编程语言编写的脚本来提供高级和高效地处理。
在特定的nginx + php-fpm配置中,web用户就可能会进行代码执行。有漏洞的配置如下所示:
location ~ [^/]\.php(/|$) {
...
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}从中可以看出,以上代码上缺乏脚本检查,因此攻击者可以用sploit来触发漏洞。
漏洞利用条件
fastcgi_split_path_info directive必须存在,并且含有以 ^开头,以 $结尾的正则表达式。
必须通过fastcgi_param PATH_INFO $fastcgi_path_info;语句来实现 PATH_INFO变量。首先,研究人员认为必须在fastcgi_params 文件中。
没有文件存在性检查,比如try_files $uri =404 or if (-f $uri)。如果Nginx在FastCGI转发前释放请求到不存在的脚本,研究人员创建的请求就不会到达php-fpm。
虽然漏洞利用只在PHP 7+版本上工作,但该漏洞本身存在于之前的版本中。很长时间内,php-fpm都不会限制脚本的扩展,比如/avatar.png/some-fake-shit.php可以将 avatar.png 作为php脚本执行。PoC代码见:https://github.com/neex/phuip-fpizdam
GitHub上的PoC脚本可以通过发送特殊伪造的请求来查询目标web服务器来识别是否受到该漏洞的影响。识别了有漏洞的目标后,攻击者可以在URL中加上'?a='并发送伪造的请求到有漏洞的web服务器。
建议
因为PoC漏洞利用已经在GitHub上公布了,虽然补丁已经发布了,但是黑客可能已经利用该漏洞了。研究人员建议用户更新PHP到最新的 PHP 7.3.11 或 PHP 7.2.24 。