ພົບຊ່ອງໂຫວ່ RCE ເທິງ PHP7 ກັບຜູ້ໃຊ້ງານ NGINX ມີໂຄ້ດ PoC ອອກແລ້ວ ແນະຜູ້ໃຊ້ເລັ່ງອັບເດດ

ມີ​ການ​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ເທິງ PHP ເວ​ີຊັນ 7 ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຟີ​ເຈີ PHP-FPM ເຊິ່ງ​ສາມາດ​ນຳ​ໄປ​ສູ່​ການເຮັດ Remote Code Execution ທັງ​ນີ້​ພົບ​ໂຄ້​ດ​ສາ​ທິດ​ການ​ໃຊ້​ງານ​ແລ້ວ​ຫຼາຍ​ແຫ່ງ​ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ກ່ຽວ​ຂ້ອງ​ເລັ່ງ​ອັບ​ເດດ

ຊ່ອງ​ໂຫ​ວ່າ​ໝາຍ​ເລກ CVE-2019-11043 ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ Andrew Danau ລະຫວ່າງ​ງານ​ແຂ່ງ​ຂັນ Capture The Flag (ຂອງ​ຕ່າງ​ປະເທດ) ຊຶ່ງ​ມີ​ຜົນ​ກະທົບ​ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຟີ​ເຈີ PHP-FPM ທີ່​ມີ​ການ​ປະ​ກາດ​ຄ່າ Config ຕາມ​ຮູບ​ດ້ານ​ເທິງ​ຄື Regular Expression ແລະ Define PATH_INFO ດ້ວຍ fastcgi_param ລວມ​ເຖິງ​ບໍ່​ມີ​ການ​ເຊັກ URI ໃຫ້​ດີ​ພຽງ​ພໍ

ໂດຍ​ວິທີ​ການ​ໃຊ້​ງານ​ຊ່ອງ​ໂຫວ່​ກໍ​ຄື​ຄົນ​ຮ້າຍ​ສາມາດ​ຮຽກ URL ທີ່​ສ້າງ​ຂຶ້ນ​ແບບ​ພິເສດ​ດ້ວຍ​ການ​ຕໍ່​ທ້າຍ ‘?a=’ ແລະ ​ນຳ​ໄປ​ສູ່​ການ​​ຣັນ​ໂຄ້​ດ​ໃນ​ທີ່ສຸດ ຢ່າງໃດ​ກໍ​ດີ​ມີ​ການ​ເປີດ​ເຜີຍ​ຕົວ​ຢ່າງ​ໂຄ້​ດ PoC ແລ້ວ​ຫຼາຍ​ທີ່​ເທິງ GitHub ທັງ​ນີ້​ປັດຈຸບັນ​ໄດ້​ມີ​ການ​ອອກ​ແພ​ັດ​ແກ້​ໄຂ​ແລ້ວ​ໃນ​ເວ​ີ​ຊັນ 7.3.11 ແລະ 7.2.24 ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ເລັ່ງ​ອັບ​ເດດ ສຳລັບ​ຜູ້​ໃຊ້​ງານ​ທີ່​ຍັງ​ບໍ່​ສະ​ດວກ​ອັບ​ເດດ PHP ຫລື​ ປິດ PHP-FPM ກໍ​ຍັງ​ພໍ​ມີ​ທາງ​ບັນ​ເທົາ​ບັນຫາ​ດ້ວຍ​ການ​ໃຊ້ WAF ບ​ລັອກ %0a (newline) ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ເຂົ້າ​ມາ

ແຫຼ່ງຂໍ້ມູນ:

https://www.techtalkthai.com/found-rce-vulnerability-in-php7-on-nginx/

https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html