کشف کد سوءاستفادهی عمومی برای دو آسیبپذیری قدیمی اما جدیِ php

نزدیک به دو سال پیش، برخی آسیبپذیریهای جدی در نسخههای PHP مورد سوءاستفاده قرار گرفت که این آسیبپذیریها در مسابقات کشف
آسیبپذیری در چند ماه قبل معرفی شده بودند، اما هنوز وصلهای برای آنها ارائه نشده بود. پس از این اتفاق، PHP اقدام به وصلهی این
آسیبپذیریها کرد و انتظار میرفت با وجود اهمیت این آسیبپذیریها و همچنین گستردگی استفاده از PHP، این وصلهها به سرعت اعمال
شوند.
اما با سوءاستفادهای که از آسیبپذیریِ قدیمی با شناسهی CVE-2012-1823 در اکتبر گذشته کشف شد، به نظر میرسد فرضیات درست
نیست و هنوز وبگاههای آسیبپذیر وجود دارند.
محققان امنیتیِ Impreva، از ماه اکتبر به بررسی این آسیبپذیری پرداخته و دریافتهاند که مهاجمین با کدهای سوءاستفادهی جدیدی اقدام به
اجرای کد مخرب به وبگاههای PHP با نسخههای 5.4.x قبل از نسخهی 5.4.2 و همچنین نسخههای 5.3.x قبل از نسخهی 5.3.12 داشتهاند. در
مجموع نسخههای آسیبپذیر، هنوز ٪۱۶ از کل وبگاههای مبتنی بر PHP را شامل میشوند.
کد سوءاستفادهی جدید، از جهت خطرناک است که علاوه بر اجرای کد مخرب، با استفاده از روشهای جدید، میتواند به وبگاه
کد بدافزار تزریق کند، اطلاعات حساس وبگاه و دادههای سامانه موجود در کارگزار را به سرقت ببرد و حتی سرقت اطلاعات
میتواند به تمام مرکز دادهای که کارگزار در آن قرار دارد نیز سرایت کند.
با اینکه وصلهی این آسیبپذیری، مدتها پیش ارائه شده است، اما سوءاستفاده از آسیبپذیریهای وصلهنشده هدفی است که مهاجمان
همیشه دنبال میکنند و با روشی که در این کد سوءاستفاده وجود دارد و امکان سرقت اطلاعات از خود کارگزار و مرکز داده را نیز فراهم میکند،
زنگ خطری برای وبگاههای آسیبپذیر میباشد که اعمال وصلههای معرفیشده بسیار حیاتی است.
PHP زبان توسعهی وب بسیاری محبوبی است که توسط ٪۸۲ از وبگاهها استفاده میشود و سوءاستفاده از آسیبپذیریهای آن حتی در مقیاس
کوچک نیز تاثیرات چشمگیری بر دنیای امنیت خواهد داشت.
حملاتی که معرفی شد، در صورتی که قربانی PHP را با گزینهی CGI اجرا کند، قابل بهرهبرداری است و در این حالت است که
مهاجم میتواند کد از راه دور را در وبگاه قربانی اجرا کند و در واقع در این کد سوءاستفاده، سازوکار محافظتِ درونیِ PHP به
منظور جلوگیری از اجرای کد و باز کردن پرونده، دور زده میشود.
در این حملات، از آنجایی که وصله ارائه شده است، به نظر میرسد، نمیتوان جلوی انتشار خطر را گرفت و در صورتی که مدیر سامانه و وبگاه
تاکنون این وصله را اعمال نکرده و مجموع کارگزار و مرکز داده را در خطر قرار داده است، مسئول خطراتی است که وبگاه آسیبپذیر در پی دارد.
منبع:news.asis.io