Explotación masiva de la vulnerabilidad en PHP-CGI

Hace unos días se dio a conocer una grave vulnerabilidad que afectaba a aquellos servidores que interpretan PHP mediante interfaz de entrada común o CGI. Esta vulnerabilidad fue analizada en detalle a lo largo de dos post y se explicó el alcance que podía tener y cuál eran los métodos para solucionarlo. Es por esto que a lo largo de los últimos días, el laboratorio de ESET Latinoamérica comenzó a realizar un seguimiento sobre una amenaza que está explotando esta vulnerabilidad de forma masiva para inyectar una webshell en PHP y brindarle funcionalidades sobre el servidor vulnerado al atacante.

¿Cómo se lleva a cabo este tipo de explotación masiva?

En una primera instancia, el atacante realiza pruebas de forma masiva a diferentes direcciones IP. La finalidad de estas pruebas es comprobar si efectivamente cada servidor utiliza CGI y si es vulnerable. En caso afirmativo, el atacante accede al servidor remoto donde aloja un archivo PHP con funcionalidades de una shell desde el servidor vulnerado mediante un método GET. De esta forma el archivo PHP queda en el servidor que fue atacado.

Cada sitio que es vulnerado con éxito, queda disponible para el posterior acceso del atacante. Hay que aclarar que estos ataques pueden contemplar desde acceder a archivos privados dentro del servidor, hasta realizar ataques de denegación de servicio o incluso inyección de malware en los sitios web disponibles en ese servidor.

Contenido completo en fuente original ESET Latinoamérica