التحذير من ثغرة في PHP تمكن من تعديل الشفرة المصدرية للمواقع وتنفيذ هجمات عن بعد
نُشر يوم 8 ماي 2012 بواسطة Xacker
وجدت المواقع الالكترونية حول العالم نفسها عرضة للخطر بعد انتشار تفاصيل ثغرة في لغة PHP تسمح للمهاجم بتنفيذ شفرات خبيثة عن بعد و/أو إجراء تعديلات مؤقتة على شفرة الصفحة عن بعد.
وربما يتنفس الكثيرون الصعداء عند معرفتهم بأن الثغرة فعالة فقط عندما يتم تشغيل الموقع في نمط CGI، وبقيت FastCGI آمنة من هذه الثغرة.
لا يعلم أحد بالضبط كم عدد المواقع المعرضة للخطر، لأنه يجب توافر بعض الشروط الأخرى حتى تصبح الثغرة فعالة بما في ذلك عدم وجود جدار ناري يقوم بإغلاق بعض المنافذ، على سبيل المثال لا الحصر.
رغم ذلك، فإن المواقع التي تعمل في نمط CGI على خادم Apache عرضة للاختراق بشكل افتراضي مما يسهل من العملية على القراصنة لتشغيل شفرات خبيثة تقوم بتلغيم الموقع بـ backdoors أو تحميل ملفات من الموقع قد تحوي على معلومات شخصية حساسة.
الأسوأ في كل هذا، أن تفاصيل الثغرة وكيفية استغلالها ظهرت للعلن من فترة قريبة بعد حصول خطأ من إحدى الجهات التي قام مكتشف الثغرة بمراسلتها حيث تم تأشير التقرير على أنه public، وحصلت الكارثة.
وفقاً لتقارير أخيرة، فإن القراصنة بدؤوا سلفاً حملتهم الشرسة ضد المواقع المصابة، حيث التقطت شبكة honeypot تابعة لـ Trustwave’s Spider Labs ومصممة لاكتشاف هجمات الويب، التقطت العديد من المحاولات البسيطة التي تقوم بفحص المواقع لتحديد فيما إذا كانت تعمل بنمط CGI، لكن، كان هناك أيضاً محاولات حملت معها شفرات خبيثة تحاول تعديل الصفحات في الموقع لتنفيذ هجوم RFI (Remote File Inclusion).
مدراء المواقع التي تعمل بهذا النمط عليهم الإسراع لتحميل الترقيع الأول -المبدئي- المؤلف من حوالي 13 سطرا، ومن ثم عليهم اتباع بعض الخطوات الأخرى للحد من خطر هذه الثغرة، بما في ذلك تطبيق الترقيع الثاني الذي تم نشره الأسبوع الماضي من قبل باحثين على موقع Eindbazen.net.