Er is een kwetsbaarheid gevonden die websites kan treffen die gebruikmaken van programmeertaal PHP en webserversoftware NGINX. Met de kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot een server en deze daarmee overnemen. True heeft gisteren en vandaag (maandag) de noodzakelijke stappen ondernomen en configuraties in NGINX -webservers van klanten aangepast om de kwetsbaarheid te voorkomen. In deze blogpost lees je meer achtergrondinformatie over de kwetsbaarheid.
Wat is er aan de hand?
Op 27 oktober 2019 publiceerde security-onderzoeker Omar Ganiev een tweet over een Remote Code Excecution kwetsbaarheid in PHP-FPM. In zijn tweet stond ook een proof-of-concept waarmee de kwetsbaarheid te reproduceren valt.
De kwetsbaarheid zit in moderne versies van PHP (7.x) en kan gebruikt worden om op afstand code te injecteren (Remote Code Execution). Met een speciale url kunnen kwaadwillenden commando’s uitvoeren op een webserver en daarmee ook de webserver overnemen.
De kwetsbaarheid, die inmiddels bekend is als CVE-2019-11043, treft alleen PHP-gebaseerde websites die gehost worden op een NGINX-webserver én die gebruikmaken van de PHP-FPM features. PHP-FPM is een alternatief voor FastCGI en wordt met name ingeschakeld voor het efficiënter draaien van PHP-scripts. Aldus The Hacker News.
Niet elke NGINX-server kwetsbaar
Belangrijk om te vermelden: niet elke NGINX-webserver met PHP erop geïnstalleerd is kwetsbaar, omdat PHP-FPM niet standaard aanstaat bij de installatie van NGINX. Bij True is dit wel de standaard, al wil dat niet direct zeggen dat alle servers kwetsbaar zijn.
We hebben direct actie ondernomen om te onderzoeken welke servers kwetsbaar zijn. Er zijn twee oplossingen: PHP updaten, alleen zijn de nog niet uitgebracht vanuit Ubuntu (het Linux-OS dat we gebruiken voor onze klanten).
Een andere oplossing is om configuraties aan te passen binnen NGINX. Dat heeft True maandag direct doorgevoerd voor alle betreffende klanten. Klanten zijn hiermee beveiligd tegen te kwetsbaarheid.
Patches voor PHP
Vanuit de community wordt geadviseerd te updaten naar de nieuwste PHP versies zoals PHP 7.3.11 en PHP 7.2.24, ook als de webserver geen gebruik maakt van de kwetsbare configuratie in NGINX.
Op dit moment zijn de PHP-packages vanuit Ubuntu nog niet beschikbaar. Wanneer dit het geval is voeren we de updates uit in de standaard update-windows. EDIT: de patches zijn inmiddels uit. Ze worden doorgevoerd in de eerstvolgende update-windows.
Heeft u vragen naar aanleiding van de PHP-FPM / NGINX-kwetsbaarheid? Stel uw vraag in TrueCare, ons online ticketingsysteem.