Abo
  • IT-Karriere:

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.

Eine Exklusivmeldung von veröffentlicht am
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM.
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM. (Bild: sailko/Wikimedia Commons/CC-BY-SA 3.0)

Die Nutzung von Facebooks HHVM kann in der Standardeinstellung dazu führen, dass Angreifer Dateien eines Servers exfiltrieren können. Schuld daran ist der sogenannte FastCGI Process Manager (FPM), eine ursprünglich von PHP entwickelte Methode, um CGI-Skripte schneller ausführen zu können. PHP selbst ist zwar theoretisch ebenfalls betroffen, allerdings sorgen einige Schutzmechanismen dafür, dass das Risiko dort deutlich geringer ist.

Stellenmarkt
  1. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  2. Hays AG, Fürth

HHVM oder Hiphop Virtual Machine war ursprünglich eine von Facebook entwickelte Implementierung der Programmiersprache PHP. Allerdings hat sich HHVM inzwischen in eine andere Richtung entwickelt, Facebook hat Teile der Syntax geändert und aktuelle Versionen implementieren inzwischen eine eigene Programmiersprache namens HACK. Die aktuelle Version 4 von HHVM unterstützt PHP nicht mehr.

FPM funktioniert so, dass auf einem Server permanent ein PHP- oder HHVM-Prozess läuft. Ein Webserver kann Anfragen nach entsprechenden Skripten an den FPM-Daemon weiterleiten, wo diese verarbeitet werden. FPM kann dabei entweder über einen lokalen Socket oder einen Netzwerkport angesprochen werden. Wenn FPM über einen Netzwerkport und von außen erreichbar ist, entsteht ein Sicherheitsrisiko, das im schlimmsten Fall dazu führt, dass man beliebige Dateien exfiltrieren kann.

Fast alle Dateien sind gültige PHP-Skripte

Relevant hierfür ist die Syntax von PHP-Skripten. PHP-Dateien sind zunächst einmal HTML-Dateien, deren Hauptteil einfach unverändert ausgegeben wird. Ein PHP-Skript-Teil wird durch ein "<?php" eingeleitet und ein "?>" beendet. Alles, was nicht in diesen PHP-Tags eingeschlossen ist, bleibt unverändert. Konkret heißt das, dass auch jede Datei, die keine derartigen Tags enthält, ein valides PHP-Skript ist, welches nichts weiter tut, als seinen Inhalt auszugeben.

Im Fall eines von außen erreichbaren FPM-Daemons heißt das, dass man dort eine beliebige Datei - etwa /etc/passwd/ - anfragen kann und der FPM-Daemon dann den Inhalt der Datei ausgibt. Dafür muss der Nutzer, unter dem der FPM-Daemon läuft, auf die entsprechende Datei Zugriff haben, es funktioniert also üblicherweise nicht mit Dateien, die nur der root-Nutzer lesen kann. Bei HHVM in der älteren, noch PHP-kompatiblen Version 3 funktioniert das Datenexfiltrieren direkt in der Standardeinstellung.

Testen kann man einen entsprechenden Angriff relativ trivial mit dem Kommandozeilentool cgi-fcgi, welches Teil der FastCGI-Bilbiothek ist:

  1. SCRIPT_NAME=/etc/passwd SCRIPT_FILENAME=/etc/passwd REQUEST_METHOD=GET cgi-fcgi -bind -connect [host]:9000

In PHP selbst nur geringes Risiko

In PHP selbst ist das Risiko deutlich geringer. Der FPM-Daemon von PHP lauscht in der Standardkonfiguration nicht auf einem nach außen offenen Netzwerkport. Zudem hat FPM in PHP eine Option namens "security.limit_extensions", die festlegt, dass FPM nur Dateien mit bestimmten Dateiendungen ausführen soll. Standardmäßig sind dort nur die PHP-eigenen Endungen .php und .phar erlaubt. Solange diese Einstellung nicht geändert wird, ist also eine Datenexfiltration von beliebigen Dateien nicht möglich.

Es ist allerdings trotz dieser Schutzmaßnahme nicht empfehlenswert, den FPM-Daemon von PHP im Netz lauschen zu lassen, denn nach wie vor kann ein Angreifer damit beliebige PHP-Skripte auf dem System ausführen, wenn er deren Pfade kennt. Darunter können auch Skripte sein, die nicht von außen erreichbar sein sollten.

Ein spezieller Fall ist die neuere Version 4 von HHVM. Dort wird die klassische PHP-Syntax nicht mehr unterstützt. In unseren Tests war es trotzdem so, dass Dateien teilweise exfiltriert werden konnten, aber nicht alle.

Facebook hat inzwischen auf das Problem reagiert, neuere Versionen von HHVM sind standardmäßig nicht mehr über das Netzwerk erreichbar und lauschen nur noch lokal auf dem FPM-Port.

Offenlegung: Der Autor dieses Artikels hat für den Bericht dieses Sicherheitsproblems von Facebook einen Bug Bounty erhalten.



Anzeige
Spiele-Angebote
  1. (-77%) 11,50€
  2. 32,99€
  3. 4,19€
  4. 3,74€

Kleba 10. Jul 2019 / Themenstart

Es ist immer wieder interessant zu sehen, welche möglichen Angriffsvektoren in moderner...

Kommentieren


Folgen Sie uns
       


Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  2. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch
  3. Handheld Nintendo stellt die Switch Lite für unterwegs vor

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /