Une vulnérabilité affectant PHP7 est actuellement exploitée

Une vulnérabilité affectant PHP7 est actuellement exploitée

Des chercheurs de la société Bad Packets ont découvert une campagne d’attaques basée sur l’exploitation de la vulnérabilité référencée CVE-2019-11043.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détails ce service sur xmco.fr et testez le gratuitement et sans engagement sur leportail.xmco.fr.

La vulnérabilité en question permet à l’attaquant d’exécuter du code arbitraire sur le serveur affecté. Un code d’exploitation est disponible sur GitHub.

Seuls les serveurs Nginx utilisant la fonctionnalité PHP-FPM et une version de PHP 7 antérieure aux versions 7.3.11, 7.2.24 et 7.1.33 sont concernés.

La configuration Nginx proposée par défaut par l’hébergeur Nextcloud est vulnérable. Ce dernier a donc invité ses utilisateurs à mettre à jour la version de PHP utilisée sur leurs instances.

Les opérations exécutées par l’attaquant sur les serveurs vulnérables n’ont pas été communiquées.


Références

Nasty PHP7 remote code execution bug exploited in the wild
Urgent security issue in NGINX/php-fpm
PHP RCE flaw actively exploited to pop NGINX servers

Référence XMCO

CXN-2019-4904


Arthur Gautier