Der Heise-Newsticker berichtet über Versuche, Web-Server mit der Programmiersprache PHP zu kapern. Dabei wird offenbar ein erst vor Kurzem veröffentlichter Exploit eingesetzt, der eine Lücke in PHP 5 ausnutzt.
Diese Lücke ist zwar seit Mitte 2012 bekannt und seit PHP Version 5.3.12 und 5.4.2 beseitigt, aber offenbar gibt es immer noch anfällige Server, die mit älteren Versionen von PHP laufen.
Die Angriffe nutzen ein Problem aus, das nur aufkommt, wenn PHP nicht als Apache-Modul oder als FastCGI, sondern im CGI-Modus betrieben wird (CVE-2012-1823). Der Angreifer kann dabei dem PHP-Interpreter über die aufgerufene URL direkt Parameter über die Kommandozeile übergeben und so dann auch Schadcode einschleusen und ausführen lassen.
Der aktuelle Exploit von Kingcope nutzt dies, um dem Angreifer eine Shell auf dem Server bereit zu stellen. Ein Exploit ist ein fertiges Beispielprogramm zum Ausnutzen einer Sicherheitslücke im Quellcode (meist in C) – man muss es nur noch kompilieren, dann ist es einsatzbereit.
In den Log-Dateien angegriffener Server finden sich reihenweise Einträge wie:
“POST /cgi-bin/php5?%2D%64+%61%6C%6C ..”
die einen Angriffsversuch vermuten lassen. Dass dabei verschiedene User-Agent-Strings zum Einsatz kommen, deutet auf unterschiedliche Variationen des Exploits hin.
Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte die jetzt dringend aktualisieren, bevor er ungebetenen Besuch bekommt.
Hinweis für Ubuntu und Debian: Die aktuelle PHP-Version von Ubuntu 12.04 LTS lautet zwar immer noch 5.3.10, wurde aber schon durch einen Backport des Patches gesichert, das gilt auch für die Debian-Distribution. Hier sollte das Einspielen der jeweils aktuellen PHP-Pakete einer noch gepflegten Distribution also ausreichen.
