Информационные технологии

Хакеры активно эксплуатируют уязвимость в PHP

При компрометации системы хакеры создают правила mod_rewrite, предотвращающие повторную эксплуатацию уязвимости.
Специалисты из компании Trustwave сообщили о том, им известны множественные случаи эксплуатации уязвимости PHP (CVE-2012-1823/CVE-2012-2311), связанной с CGI-настройкой . Напомним, что данная уязвимость была обнаружена в ходе конкурса Nullcon CTF в январе этого года и устранена в начале мая. В течение недели разработчики PHP выпустили еще одно исправление, которое устранило дополнительные векторы уязвимости, а также еще одну уязвимость компрометации системы в ветке 5.4.x.
Компания DreamHost, которая предоставляет услуги хостинга более чем 1 миллиону сайтов, поделилась с Trustwave своими журналами событий, анализ которых показал, что в течение первых нескольких дней после того, как появилась информация об уязвимости, произошло более 200 тысяч атак на более чем 150 тысяч доменов, размещенных на серверах DreamHost.
Основной целью злоумышленников, эксплуатирующих уязвимость CGI настройки php-cgi, было создание бекдора. В одном из примеров эксплоитов, которые получили эксперты Trustwave, содержался такой код:
'<IfModule mod_rewrite.c>'.chr(10). 'RewriteEngine On'.chr(10). 'RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]'.chr(10). 'RewriteRule ^(.*) $1? [L]'.chr(10). '</IfModule>'.
Эти правила mod_rewrite добавляются к файлам .htaccess и являют собой простейший способ дальнейшей эксплуатации уязвимости. Таким образом, злоумышленники пытаются сделать так, чтобы другой хакер не смог повторно взломать систему.
Ввиду частых случаев эксплуатации, системным администраторам настоятельно рекомендуется обновить PHP до версии 5.3.13 или 5.4.3 с сайта производителя.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Хакеры активно эксплуатируют уязвимость в PHP, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента