CVE-2019-11043으로 추적되는 PHP7의 원격 코드 실행 취약점이 공격에 악용되었다. 보안 전문가 Omar Ganiev는 10월 22일, 트위터를 통해 PHP를 위한 PHP-FPM(FastCGI Process Manager)에서 새로 패치된 원격 코드 실행 취약점을 발표했다.
또한 연구원들은 깃허브 저장소에 게시된 PoC 코드 링크를 공유했다. (https://github.com/neex/phuip-fpizdam)
CVE-2019-11043 취약점은 특정 기술을 사용하여 서버를 탈취하지 않는, PHP FPM의 fpm_main.c에 있는 env_path_info 언더플로 결함이다. 이는 해당 결함이 PHP-FPM이 있는 NGINX에만 영향을 미친다는 것이다.
이 결함은 2019년 9월 26일, Emil Lerner에 의해 PHP 버그 트래커에 보고되었고, Andrew Danau 연구원도 해당 문제를 발견했다. Danau는 올해 9월 열린 CTF 대회에서 이 취약점을 발견했다.
Lerner는 웹 서버가 NGINX 및 PHP-FPM을 사용하는 특정 설정에서 원격 코드 실행 권한을 얻기 위해 해당 취약점이 익스플로잇될 수 있다고 설명했다.
Tenable이 발표한 분석 내용은 “깃허브 저장소에 포함된 PoC 스크립트는 대상 웹 서버를 쿼리하여 특수하게 조작된 요청을 전송, 취약 여부를 식별할 수 있다. 취약 대상이 확인되면 공격자는 URL에 “?a=”를 추가하여 조작된 요청을 보낼 수 있다.”고 설명한다.
10월 24일, 해당 취약점이 패치된 PHP 7.3.11과 PHP 7.2.24가 공개되었으며, PHP-FPM과 함께 NGINX를 사용하는 경우에는 가능한 빨리 업데이트 해야 한다. 또한 관리자는 try_files를 포함하거나 if(-f $uri)와 같은 if문을 사용하는 차선책도 활용할 수 있다.
★정보보안 대표 미디어 데일리시큐!★