При компрометации системы хакеры создают правила mod_rewrite, предотвращающие повторную эксплуатацию уязвимости.
Специалисты из компании Trustwave сообщили о том, им известны множественные случаи эксплуатации уязвимости PHP (CVE-2012-1823/CVE-2012-2311), связанной с CGI-настройкой . Напомним, что данная уязвимость была обнаружена в ходе конкурса Nullcon CTF в январе этого года и устранена в начале мая. В течение недели разработчики PHP выпустили еще одно исправление, которое устранило дополнительные векторы уязвимости, а также еще одну уязвимость компрометации системы в ветке 5.4.x.
Компания DreamHost, которая предоставляет услуги хостинга более чем 1 миллиону сайтов, поделилась с Trustwave своими журналами событий, анализ которых показал, что в течение первых нескольких дней после того, как появилась информация об уязвимости, произошло более 200 тысяч атак на более чем 150 тысяч доменов, размещенных на серверах DreamHost.
Основной целью злоумышленников, эксплуатирующих уязвимость CGI настройки php-cgi, было создание бекдора. В одном из примеров эксплоитов, которые получили эксперты Trustwave, содержался такой код:
'<IfModule mod_rewrite.c>'.chr(10).
'RewriteEngine On'.chr(10).
'RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]'.chr(10).
'RewriteRule ^(.*) $1? [L]'.chr(10).
'</IfModule>'.
Эти правила mod_rewrite добавляются к файлам .htaccess и являют собой простейший способ дальнейшей эксплуатации уязвимости. Таким образом, злоумышленники пытаются сделать так, чтобы другой хакер не смог повторно взломать систему.
Ввиду частых случаев эксплуатации, системным администраторам настоятельно рекомендуется обновить PHP до версии 5.3.13 или 5.4.3 с сайта производителя.
С уведомлением Trustwave можно ознакомиться здесь.
И мы тоже не спим, чтобы держать вас в курсе всех угроз