FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.

Eine Exklusivmeldung von veröffentlicht am
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM.
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM. (Bild: sailko/Wikimedia Commons/CC-BY-SA 3.0)

Die Nutzung von Facebooks HHVM kann in der Standardeinstellung dazu führen, dass Angreifer Dateien eines Servers exfiltrieren können. Schuld daran ist der sogenannte FastCGI Process Manager (FPM), eine ursprünglich von PHP entwickelte Methode, um CGI-Skripte schneller ausführen zu können. PHP selbst ist zwar theoretisch ebenfalls betroffen, allerdings sorgen einige Schutzmechanismen dafür, dass das Risiko dort deutlich geringer ist.

Stellenmarkt
  1. Softwaretester Frontend Online-Games (m/w/d)
    BALLY WULFF Games & Entertainment GmbH, Berlin
  2. Application SW Engineer Electric Vehicle Motion Control (m/w / divers)
    Continental AG, Nürnberg
Detailsuche

HHVM oder Hiphop Virtual Machine war ursprünglich eine von Facebook entwickelte Implementierung der Programmiersprache PHP. Allerdings hat sich HHVM inzwischen in eine andere Richtung entwickelt, Facebook hat Teile der Syntax geändert und aktuelle Versionen implementieren inzwischen eine eigene Programmiersprache namens HACK. Die aktuelle Version 4 von HHVM unterstützt PHP nicht mehr.

FPM funktioniert so, dass auf einem Server permanent ein PHP- oder HHVM-Prozess läuft. Ein Webserver kann Anfragen nach entsprechenden Skripten an den FPM-Daemon weiterleiten, wo diese verarbeitet werden. FPM kann dabei entweder über einen lokalen Socket oder einen Netzwerkport angesprochen werden. Wenn FPM über einen Netzwerkport und von außen erreichbar ist, entsteht ein Sicherheitsrisiko, das im schlimmsten Fall dazu führt, dass man beliebige Dateien exfiltrieren kann.

Fast alle Dateien sind gültige PHP-Skripte

Relevant hierfür ist die Syntax von PHP-Skripten. PHP-Dateien sind zunächst einmal HTML-Dateien, deren Hauptteil einfach unverändert ausgegeben wird. Ein PHP-Skript-Teil wird durch ein "<?php" eingeleitet und ein "?>" beendet. Alles, was nicht in diesen PHP-Tags eingeschlossen ist, bleibt unverändert. Konkret heißt das, dass auch jede Datei, die keine derartigen Tags enthält, ein valides PHP-Skript ist, welches nichts weiter tut, als seinen Inhalt auszugeben.

Golem Akademie
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
Weitere IT-Trainings

Im Fall eines von außen erreichbaren FPM-Daemons heißt das, dass man dort eine beliebige Datei - etwa /etc/passwd/ - anfragen kann und der FPM-Daemon dann den Inhalt der Datei ausgibt. Dafür muss der Nutzer, unter dem der FPM-Daemon läuft, auf die entsprechende Datei Zugriff haben, es funktioniert also üblicherweise nicht mit Dateien, die nur der root-Nutzer lesen kann. Bei HHVM in der älteren, noch PHP-kompatiblen Version 3 funktioniert das Datenexfiltrieren direkt in der Standardeinstellung.

Testen kann man einen entsprechenden Angriff relativ trivial mit dem Kommandozeilentool cgi-fcgi, welches Teil der FastCGI-Bilbiothek ist:

  1. SCRIPT_NAME=/etc/passwd SCRIPT_FILENAME=/etc/passwd REQUEST_METHOD=GET cgi-fcgi -bind -connect [host]:9000

In PHP selbst nur geringes Risiko

In PHP selbst ist das Risiko deutlich geringer. Der FPM-Daemon von PHP lauscht in der Standardkonfiguration nicht auf einem nach außen offenen Netzwerkport. Zudem hat FPM in PHP eine Option namens "security.limit_extensions", die festlegt, dass FPM nur Dateien mit bestimmten Dateiendungen ausführen soll. Standardmäßig sind dort nur die PHP-eigenen Endungen .php und .phar erlaubt. Solange diese Einstellung nicht geändert wird, ist also eine Datenexfiltration von beliebigen Dateien nicht möglich.

Es ist allerdings trotz dieser Schutzmaßnahme nicht empfehlenswert, den FPM-Daemon von PHP im Netz lauschen zu lassen, denn nach wie vor kann ein Angreifer damit beliebige PHP-Skripte auf dem System ausführen, wenn er deren Pfade kennt. Darunter können auch Skripte sein, die nicht von außen erreichbar sein sollten.

Ein spezieller Fall ist die neuere Version 4 von HHVM. Dort wird die klassische PHP-Syntax nicht mehr unterstützt. In unseren Tests war es trotzdem so, dass Dateien teilweise exfiltriert werden konnten, aber nicht alle.

Facebook hat inzwischen auf das Problem reagiert, neuere Versionen von HHVM sind standardmäßig nicht mehr über das Netzwerk erreichbar und lauschen nur noch lokal auf dem FPM-Port.

Offenlegung: Der Autor dieses Artikels hat für den Bericht dieses Sicherheitsproblems von Facebook einen Bug Bounty erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. App Store: Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung
    App Store
    Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung

    Wer ein Abo über eine App im App Store bucht, muss damit rechnen, dass er vor einer Preiserhöhung nicht mehr nach einer Zustimmung gefragt wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /