Systematische Angriffe auf PHP-LĂĽcke
Leser berichten über verstärkte Angriffe auf eine seit über einem Jahr bekannte Lücke in PHP; auch die Heise-Server registrieren die Angriffsversuche. Anlass ist offenbar ein soeben veröffentlichter Exploit.
Mehrere Leser berichten über Versuche, Web-Server mit PHP zu kapern. Dabei kommt offenbar ein kürzlich veröffentlichter Exploit zum Einsatz, der eine Lücke in PHP 5 ausnutzt. Die ist zwar seit Mitte letzten Jahres bekannt und seit PHP Version 5.3.12 und 5.4.2 gefixt. Doch offenbar gibt es immer noch anfällige Server.
Die Angriffe nutzen ein Problem aus, das nur zum Tragen kommt, wenn PHP im CGI-Modus betrieben wird (CVE-2012-1823). Der Angreifer kann dabei dem PHP-Interpreter ĂĽber die aufrufende URL direkt Kommandozeilenparameter ĂĽbergeben und damit dann auch Code einschleusen und ausfĂĽhren lassen. Der aktuelle Exploit von Kingcope nutzt dies, um dem Angreifer eine Shell auf dem Server bereit zu stellen.
In den Log-Dateien des Heise-Servers finden sich reihenweise Einträge wie:
212.62.X.Y - - [04/Nov/2013:15:16:53 +0100]
"POST /cgi-bin/php5?%2D%64+%61%6C%6C .."
die auf einen Angriffsversuch hindeuten. Dass dabei verschiedene User-Agent-Strings zum Einsatz kommen, deutet auf verschiedene Variationen des Exploits hin. Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte diese jetzt dringend aktualisieren, bevor er Besuch bekommt. [Update: Die aktuelle PHP-Version von Ubuntu 12.04 LTS lautet zwar immer noch 5.3.10, wurde aber durch einen Backport des Patches gesichert; analoges gilt fĂĽr Debian. Das Einspielen der jeweils aktuellen PHP-Pakete einer noch gepflegten Distribution sollte also genĂĽgen.] (ju)