Ein Exploit mit dem Namen „CNEXT“ wurde am 27. Mai 2024 auf Github veröffentlicht, der eine schwerwiegende Sicherheitslücke in PHP ausnutzt und Remote Code Execution (RCE) ermöglicht. Der Exploit nutzt eine Schwachstelle im Dateizugriff von PHP, um Angreifern die vollständige Kontrolle über betroffene Systeme zu ermöglichen. Diese Schwachstelle ist als CVE-2024-2961 bekannt und wird von SUSE mit einem CVSS v3 Basiswert von 8.2 bewertet, was sie als eine Sicherheitslücke mit hoher Priorität einstuft. Die Schwachstelle kann aus der Ferne ausgenutzt werden (Netzwerkangriffsvektor), erfordert keine besonderen Privilegien und keine Interaktion durch den Benutzer. Die Auswirkungen betreffen hauptsächlich die Integrität und Verfügbarkeit des Systems.
Grundlage ist eine Schwachstelle in der iconv()
-Funktion der GNU C Library (glibc), Version 2.39 und älter. Bei der Konvertierung von Zeichenketten in das ISO-2022-CN-EXT-Zeichenformat kann es zu einem Überlauf des Ausgabe-Puffers um bis zu 4 Bytes kommen. Diese Schwachstelle kann dazu genutzt werden, eine Anwendung zum Absturz zu bringen oder benachbarte Variablen zu überschreiben. Die Schwachstelle wird durch eine unzureichende Validierung von Dateipfaden und eine fehlerhafte Handhabung von PHP-Filtern und Konvertierungen ausgenutzt.
Der Exploit erfordert die Implementierung der Remote
-Klasse, die es dem Exploit ermöglicht, Nutzdaten an den Zielserver zu senden und Dateien herunterzuladen. Der typische Angriff erfolgt gegen eine PHP-Seite, die Dateien von einem vom Benutzer angegebenen Pfad liest und deren Inhalt ausgibt.
Beispiel für eine verwundbare PHP-Seite:
<?php
$data = file_get_contents($_POST['file']);
echo "File contents: $data";
?>
Für die Nutzung des Exploits sind die Bibliotheken ten
und pwn
erforderlich, die unter den folgenden Links zu finden sind:
Der betrachtete Exploit nutzt mehrere Techniken und Werkzeuge, darunter:
zlib
zur Datenkompression und -dekompression- Base64-Kodierung zur Übertragung von Nutzdaten
- Spezielle PHP-Filter zur Datenverarbeitung
Die Exploit-Logik umfasst die Überprüfung der Verwundbarkeit des Ziels, das Herunterladen und Analysieren von Speicherregionen des PHP-Prozesses sowie die gezielte Manipulation des Heapspeichers.
Exploitablauf
- Überprüfung der Verwundbarkeit: Der Exploit prüft, ob die Zielseite die notwendigen PHP-Wrapper und Filter unterstützt.
- Heap-Manipulation: Durch spezielle Nutzdaten werden Speicherstrukturen so manipuliert, dass Angreifer die Kontrolle über den Speicher erlangen.
- Code-Ausführung: Der manipulierte Speicher wird genutzt, um schädlichen Code auszuführen, der von der Kommandozeile des Angreifers stammt.
Verwundbar sind alle glibc-Versionen bis einschließlich 2.39. Sicherheitsupdates und Patches wurden für diverse betroffene Systeme und Versionen bereitgestellt, unter anderem für SUSE Linux Enterprise, openSUSE und Red Hat Enterprise Linux. Administratoren und Nutzer sollten umgehend ihre Systeme aktualisieren, um diese Sicherheitslücke zu schließen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: