Systematische Angriffe auf PHP-Lücke

Mehrere Leser berichten über Versuche, Web-Server mit PHP zu kapern. Dabei kommt offenbar ein kürzlich veröffentlichter Exploit zum Einsatz, der eine Lücke in PHP 5 ausnutzt. Die ist zwar seit Mitte letzten Jahres bekannt und seit PHP Version 5.3.12 und 5.4.2 gefixt. Doch offenbar gibt es immer noch anfällige Server.

Die Angriffe nutzen ein Problem aus, das nur zum Tragen kommt, wenn PHP im CGI-Modus betrieben wird (CVE-2012-1823). Der Angreifer kann dabei dem PHP-Interpreter über die aufrufende URL direkt Kommandozeilenparameter übergeben und damit dann auch Code einschleusen und ausführen lassen. Der aktuelle Exploit von Kingcope nutzt dies, um dem Angreifer eine Shell auf dem Server bereit zu stellen.

In den Log-Dateien des Heise-Servers finden sich reihenweise Einträge wie:

212.62.X.Y - - [04/Nov/2013:15:16:53 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C .."

die auf einen Angriffsversuch hindeuten. Dass dabei verschiedene User-Agent-Strings zum Einsatz kommen, deutet auf verschiedene Variationen des Exploits hin. Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte diese jetzt dringend aktualisieren, bevor er Besuch bekommt. Die aktuelle PHP-Version von Ubuntu 12.04 LTS lautet zwar immer noch 5.3.10, wurde aber durch einen Backport des Patches gesichert; analoges gilt für Debian. Das Einspielen der jeweils aktuellen PHP-Pakete einer noch gepflegten Distribution sollte also genügen.[Quelle: http://www.heise.de]