ZDNet从威胁情报公司Bad Packets那里了解到，目前正在利用PHP编程语言的现代版本中最近修补的安全漏洞进行野外接管服务器。

该漏洞是PHP 7(PHP的较新分支)中的远程代码执行(RCE)，PHP是用于构建网站的最常见编程语言。

漏洞跟踪为CVE-2019-11043，攻击者仅通过访问特制URL即可在服务器上运行命令。

利用该漏洞很简单，公开概念验证漏洞利用代码已于本周早些时候在GitHub上发布。

Tenable的高级安全响应经理Satnam Narang说：“ GitHub存储库中包含的PoC脚本可以查询目标Web服务器，以通过发送特制请求来确定它是否容易受到攻击。”“一旦确定了易受攻击的目标，攻击者便可以通过将URL中的'?a ='附加到易受攻击的Web服务器来发送特制请求。”

仅NGINX服务器受影响

幸运的是，并非所有支持PHP的Web服务器都受到影响。仅启用了PHP-FPM的NGINX服务器容易受到攻击。PHP-FPM或FastCGI Process Manager是具有某些附加功能的替代PHP FastCGI实现。

但是，尽管PHP-FPM不是Nginx安装的标准组件，但某些Web托管提供商将其作为其标准PHP托管环境的一部分。

网络托管提供商Nextcloud就是其中一个例子，该公司于10月24日星期四向其客户发布了安全建议，敦促客户将PHP更新到同一天发布的最新版本7.3.11和7.2.24。并包含针对CVE-2019-11043的修复程序。许多其他虚拟主机提供商也被怀疑正在运行易受攻击的Nginx + PHP-FPM组合。

但是也有一些网站所有者由于技术限制而无法更新PHP或无法从PHP-FPM切换到另一个CGI处理器。

Wallarm是一家发现PHP7 RCE的公司，该博客文章包含有关网站管理员如何使用标准mod_security防火墙实用程序阻止网站URL中的%0a(换行符)字节并防止任何传入攻击的说明。

Wallarm感谢其安全研究员Andrew Danau在上个月的Capture The Flag(CTF)竞​​赛中发现了该错误。

由于公共PoC代码的可用性以及利用此错误的简便性，建议网站所有者在运行易受攻击的配置时检查服务器设置并尽快更新PHP。