Con este error en PHP, incluso un niño podría tomar control de sus servidores

Especialistas en seguridad de aplicaciones web reportan el hallazgo de una vulnerabilidad de seguridad en el lenguaje de programación PHP. Este es uno de los recursos más utilizados en Internet, pues es la piedra angular de sistemas de gestión de contenidos (como WordPress y Drupal), además de algunas aplicaciones web, como Facebook.

La versión más reciente de este lenguaje de desarrollo web, PHP 7, presenta una vulnerabilidad de ejecución remota de código de seriedad considerable, así lo afirma Emil Lerner, investigador radicado en Rusia.

Acorde al experto en seguridad de aplicaciones web, de ser explotada, la vulnerabilidad CVE-2019-11043 permitiría a un actor de amenazas forzar la ejecución de su propio código arbitrario en un servidor remoto con sólo acceder a una URL creada especialmente con este fin. “Un hacker sólo requeriría añadir los caracteres ‘?a=‘ a la dirección de sitio web objetivo, además de la carga útil”, menciona el experto, también conocido como ‘Neex’.

Por otra parte, un reporte publicado en la plataforma especializada ZDNet menciona que esta falla vuelve ridículamente fácil comprometer la seguridad de un sitio web, pues incluso un usuario sin conocimientos de hacking medianamente familiarizado con algunos conceptos básicos podría explotarla. No obstante no todos son malas noticias, pues los expertos en seguridad de aplicaciones web mencionan que la vulnerabilidad sólo parece afectar a las implementaciones que usan el servidor web NGINX, extensión PHP-FPM, una versión actualizada de FastCGI.

A pesar de que ninguno de estos componentes es fundamental para el uso de PHP 7, su uso sigue siendo muy común, especialmente en entornos comerciales. Por ejemplo, el proveedor de software de productividad NextCloud usa PHP 7 con NGINX y PHP-FPM. Los clientes de la compañía han sido alertados, además se les solicitó instalar la actualización más reciente versión de PHP.

En caso de que los administradores de sitios web no puedan actualizar sus implementaciones de PHP, expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan establecer una regla en el estándar mod_security PHP de su firewall.

La presencia de esta vulnerabilidad es un hecho de alta seriedad, pues existen múltiples entornos en riesgo y su explotación es un proceso demasiado simple. Además, aunque existen soluciones alternativas y parches de seguridad, esto no significa que el riesgo de explotación sea completamente mitigado. Un ejemplo claro de esto es la vulnerabilidad Heartbleed de OpenSSL, pues aunque ya han pasado más de dos años desde su detección, cientos de miles de servidores siguen siendo vulnerables a la explotación.

Por si fuera poco, la evidencia recolectada hasta ahora hace suponer que los actores de amenazas ya han explotado esta vulnerabilidad en entornos reales, apuntando contra un grupo específico de organizaciones, por lo que es vital que los administradores de sitios web implementen todas las medidas de mitigación posibles.