Lỗ hổng CVE-2021-21703 trong PHP-FPM cho phép Hacker leo thang đặc quyền root

  • Saturday 06/11/2021

Lỗ hổng CVE-2021-21703 trong PHP-FPM cho phép hacker leo thang đặc quyền root

1. Thông tin về lỗ hổng CVE-2021-21703

Lỗ hổng bảo mật có mã định danh CVE-2021-21703 cho phép user có đặc quyền thấp (ví dụ như www-data) nâng cao đặc quyền của mình lên quyền root bằng cách sử dụng khai thác một lỗi trong PHP-FPM. Lỗ hổng này đã xuất hiện và tồn tại được 10 năm.

PHP-FPM (FastCGI Process Manager) là máy chủ PHP FastCGI chính thức. Nó được sử dụng cùng với một máy chủ HTTP như Apache hoặc NGINX để xử lý việc xử lý tiến trình các tệp PHP. Nếu còn băn khoăn không biết mình có bị ảnh hưởng bởi lỗ hổng hay không thì: Nếu bạn đang sử dụng Apache và PHP, bạn có thể đang sử dụng PHP-FPM. Nếu bạn đang sử dụng NGINX và PHP, bạn chắc chắn đang sử dụng PHP-FPM. Và nếu bạn đang sử dụng PHP-FPM, bạn sẽ dễ bị tấn công.

Bạn có thể tìm hiểu thêm về PHP-FPM tại bài viết PHP-FPM là gì?

Một tiến trình có đặc quyền thấp có thể đọc và ghi một mảng con trỏ được sử dụng bởi tiến trình main, chạy dưới quyền root, thông qua bộ nhớ dùng chung. Kẻ tấn công có thể lợi dụng sự cố này để thay đổi số nguyên 32 bit từ 0 thành 1 trong bộ nhớ của tiến trình chính hoặc xóa một vùng bộ nhớ. Bằng cách lợi dụng lỗi nguyên thủy khai thác lỗi nhiều lần, hacker có thể tiếp cận một lỗi khác, làm quá trình chính thực thi mã và qua đó leo thang đặc quyền.

2. Phạm vi ảnh hưởng của CVE-2021-21703

Theo thông tin từ php.net, các phiên bản ảnh hưởng bao gồm PHP 7.2.x, 7.3.x đến PHP 7.4.24 và từ 8.0.x đến 8.0.11. Trang chủ chính thức của PHP đã phát hành phiên bản vá lỗi PHP 7.4.25 và 8.0.12 vào ngày 21/10/2021. Các lỗi này được các nhà nghiên cứu bảo mật báo cáo hồi tháng 05/2021. Sau khi vá lỗi xong cách đây ít ngày, họ đã công khai lỗi với mã định danh CVE-2021-21703 (https://security-tracker.debian.org/tracker/CVE-2021-21703).

Lưu ý rằng một số nguồn tin trên Twitter cho thấy hầu như tất cả các phiên bản PHP đều bị ảnh hưởng. Tuy nhiên từ PHP 7.2 trở đi, việc khai thác là dễ dàng hơn.

Nếu bạn đang sử dụng PHP-FPM, hãy nâng cấp phiên bản PHP mới nhất PHP 7.4.25 hoặc PHP 8.0.12. Lỗ hổng bảo mật này được xem là lỗ hổng nguy hiểm nhất năm 2021 đến thời điểm hiện tại.

Directadmin hiện đã update phiên bản vá lỗi PHP, nếu server bạn sử dụng Directadmin thì có thể update custombuild phiên bản mới nhất và build lại PHP để cập nhật nếu đang dùng PHP-FPM.

Qua bài viết này chúng tôi hi vọng bạn sẽ nắm được các thông tin cơ bản về lỗ hổng CVE-2021-21703 trong PHP-FPM và ảnh hưởng của nó tới bảo mật của server.

P.A Việt Nam cung cấp đa dạng các cấu hình Máy Chủ Ảo và Máy Chủ Riêng
Cloud Server
Cloud Server Pro
Máy Chủ Riêng

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/

Nội dung tham khảo từ các nguồn:

security-tracker.debian.org

www.ambionics.io