3 lỗ hổng nghiêm trọng zero-day đã được phát hiện cho phép tin tặc kiểm soát hoàn toàn 80% website sử dụng phiên bản mới nhất của ngôn ngữ lập trình web PHP. Các lỗ hổng nằm trong cơ chế “unserialized” của PHP 7 (phiên bản PHP 5 cũng tồn tại lỗ hổng) cho phép tin tặc xâm nhập vào website trên nền tảng quản trị nội dung Drupal, Joomla, vBulletin và các máy chủ web khác bằng cách gửi gói tin độc hại từ cookie client.
serialize(array): là phương thức dùng để chuyển một mảng(Array) hoặc đối tượng(Object) thành chuỗi(String) dữ liệu theo chuẩn của PHP để ta có thể lưu trữ hoặc truyền tải, khi muốn chuyển nó lại thành lại một mảng hoặc phương thức ta dùng phương thức unserialize().
Ba lỗ hổng có mã định danh CVE-2016-7479, CVE-2016-7480, và CVE-2016-7478 có thể khai thác riêng biệt và được trình bày chi tiết tại báo cáo của Check Point.
- CVE-2016-7479—Use-After-Free Code Execution (Lỗ hổng thực thi sau khi giải phóng bộ nhớ)
- CVE-2016-7480—Use of Uninitialized Value Code Execution (Lỗ hổng xảy ra khi một biến không có giá trị)
- CVE-2016-7478—Remote Denial of Service (Lỗ hổng từ chối dịch vụ từ xa)
Khai thác hai lỗ hổng đầu tiên giúp tin tặc chiếm toàn bộ quyền kiểm soát máy chủ như phát tán mã độc, đánh cắp thông tin người dùng hoặc thay đổi giao diện website… Lỗ hổng thư ba được sử dụng trong tấn công từ chối dịch vụ (DoS), khiến cạn kiệt bộ nhớ và gây sập hệ thống. Theo các nhà nghiên cứu, chưa có lỗ hổng nào được khai thác ngoài thực tế bởi tin tặc. Check Point đã báo cáo ba lỗ hổng tới PHP vào 6/8 và 15/9 và chỉ 2 trong số đó đã được vá. Bên cạnh đó, Check Point cũng phát hành IPS signature dành cho 3 lỗ hổng vào 18 và 31/10 nhằm bảo vệ người dùng. Để đảm bảo an toàn cho máy chủ web, người dùng được khuyến cáo nâng cấp lên phiên bản PHP mới nhất.
THN