Um bug relativamente simples de ser explorado colocou em risco de invasão milhares de sites, plataformas sociais e servidores corporativos que fazem uso da linguagem de programação PHP.
Apesar de ser aplicável apenas dentro de fatores específicos, a falha tem fácil execução, exigindo apenas que algumas informações de URL sejam alteradas para executar códigos maliciosos no servidor — não somente hackers, mas pessoas sem muito conhecimento técnico poderiam se aproveitar do problema.
Segundo o pesquisador de segurança russo Emil “Neex” Lerner, a falha — catalogada pelo código de identificação CVE-ID 2019-11043 — funciona por um processo de execução remota de código em servidores web configurados com PHP 7, permitindo que invasores forcem um servidor web a executar seus próprios códigos maliciosos adicionado apenas “?a=” ao endereço do site que será alvo do ataque.
Segundo o site comunitário de segurança da tecnologia Sempre Update, a falha funciona apenas em servidores NGINX com extensão PHP-FPM. Essa extensão é projetada especificamente para plataformas online que tenham alto tráfego. Vale citar, porém, que empresas como WordPress e Facebook possuem a linguagem de programação PHP em sua configuração interna.
Já existe um patch de segurança disponível que cobre esse exploit, e “Neex” urge para que administradores de sistema que fazem uso desse tipo de programação providenciem esse update o quanto antes. Aqueles que não conseguirem ou não souberem como aplicar o patch podem tentar uma solução temporária, adicionando uma regra ao firewall padrão do PHP.
A insistência na atualização do servidor web para fechar esse buraco é justificada: segundo o The Inquirer, dois anos após a descoberta e divulgação de um outro exploit — o Heartbleed OpenSSL —, cerca de 200 mil servidores ainda permanecem vulneráveis, o que demonstra a lentidão na correção de falhas de segurança por parte de alguns administradores.
