Exploit:" Kwetsbaarheid in NGINX gevonden

Kwetsbaarheid in PHP gevonden en NGINX-servers

Er is een kwetsbaarheid gevonden die websites kan treffen die gebruikmaken van programmeertaal PHP en webserversoftware NGINX. Met de kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot een server en deze daarmee overnemen. True heeft gisteren en vandaag (maandag) de noodzakelijke stappen ondernomen en configuraties in NGINX -webservers van klanten aangepast om de kwetsbaarheid te voorkomen. In deze blogpost lees je meer achtergrondinformatie over de kwetsbaarheid.

Wat is er aan de hand?

Op 27 oktober 2019 publiceerde security-onderzoeker Omar Ganiev een tweet over een Remote Code Excecution kwetsbaarheid in PHP-FPM. In zijn tweet stond ook een proof-of-concept waarmee de kwetsbaarheid te reproduceren valt.

De kwetsbaarheid zit in moderne versies van PHP (7.x) en kan gebruikt worden om op afstand code te injecteren (Remote Code Execution). Met een speciale url kunnen kwaadwillenden commando’s uitvoeren op een webserver en daarmee ook de webserver overnemen.

De kwetsbaarheid, die inmiddels bekend is als CVE-2019-11043, treft alleen PHP-gebaseerde websites die gehost worden op een NGINX-webserver én die gebruikmaken van de PHP-FPM features. PHP-FPM is een alternatief voor FastCGI en wordt met name ingeschakeld voor het efficiënter draaien van PHP-scripts. Aldus The Hacker News.

Niet elke NGINX-server kwetsbaar

Belangrijk om te vermelden: niet elke NGINX-webserver met PHP erop geïnstalleerd is kwetsbaar, omdat PHP-FPM niet standaard aanstaat bij de installatie van NGINX. Bij True is dit wel de standaard, al wil dat niet direct zeggen dat alle servers kwetsbaar zijn.

We hebben direct actie ondernomen om te onderzoeken welke servers kwetsbaar zijn. Er zijn twee oplossingen: PHP updaten, alleen zijn de nog niet uitgebracht vanuit Ubuntu (het Linux-OS dat we gebruiken voor onze klanten).

Een andere oplossing is om configuraties aan te passen binnen NGINX. Dat heeft True maandag direct doorgevoerd voor alle betreffende klanten. Klanten zijn hiermee beveiligd tegen te kwetsbaarheid.

Patches voor PHP

Vanuit de community wordt geadviseerd te updaten naar de nieuwste PHP versies zoals PHP 7.3.11 en PHP 7.2.24, ook als de webserver geen gebruik maakt van de kwetsbare configuratie in NGINX.

Op dit moment zijn de PHP-packages vanuit Ubuntu nog niet beschikbaar. Wanneer dit het geval is voeren we de updates uit in de standaard update-windows. EDIT: de patches zijn inmiddels uit. Ze worden doorgevoerd in de eerstvolgende update-windows.

Heeft u vragen naar aanleiding van de PHP-FPM / NGINX-kwetsbaarheid? Stel uw vraag in TrueCare, ons online ticketingsysteem.

Exploit:" Kwetsbaarheid in NGINX gevonden
Kilian Drewel
Contentmarketeer

Security - 03.06.2020

Onlangs werd Sr. Security Engineer Eddie Bijnen van True geïnterviewd door Information Security Magazine over het Advanced Security Platform van True. Hieronder kun je het volledige artikel lezen. Bekijk ook onze dienst voor website security. Veel bedrijven vertrouwen voor hun dagelijkse bedrijfsvoering op websites, webapplicaties en databases. Een cyberaanval kan de beschikbaarheid echter in gevaar […]

Security - 29.01.2020

Er is recentelijk een nieuwe kwetsbaarheid gevonden in de speculative execution functie van de Intel-processoren. De aanval is dit keer gericht op het lekken van data via Cache Evictions, waarmee een aanvaller in potentie zelf kan selecteren welke data er gelekt mogen worden. Dit in tegenstelling tot eerdere kwetsbaarheden MDS/RIDL, waar de aanvaller eerst moest […]

Security - 11.12.2019

Gister werd een nieuw lek bekend gemaakt die gebruikmaakt van het fysieke component van Intel-processoren. Het lek draagt de naam Plundervolt. In deze blogpost geven we wat duiding, lees je onze reactie als hostingprovider hierop en vertellen we wat de impact is voor onze klanten. Fysieke manipulatie Computers van vandaag de dag zijn beschermd tegen […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.