• IT-Karriere:
  • Services:

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.

Eine Exklusivmeldung von veröffentlicht am
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM.
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM. (Bild: sailko/Wikimedia Commons/CC-BY-SA 3.0)

Die Nutzung von Facebooks HHVM kann in der Standardeinstellung dazu führen, dass Angreifer Dateien eines Servers exfiltrieren können. Schuld daran ist der sogenannte FastCGI Process Manager (FPM), eine ursprünglich von PHP entwickelte Methode, um CGI-Skripte schneller ausführen zu können. PHP selbst ist zwar theoretisch ebenfalls betroffen, allerdings sorgen einige Schutzmechanismen dafür, dass das Risiko dort deutlich geringer ist.

Stellenmarkt
  1. HiScout GmbH, Berlin
  2. Deloitte, verschiedene Standorte

HHVM oder Hiphop Virtual Machine war ursprünglich eine von Facebook entwickelte Implementierung der Programmiersprache PHP. Allerdings hat sich HHVM inzwischen in eine andere Richtung entwickelt, Facebook hat Teile der Syntax geändert und aktuelle Versionen implementieren inzwischen eine eigene Programmiersprache namens HACK. Die aktuelle Version 4 von HHVM unterstützt PHP nicht mehr.

FPM funktioniert so, dass auf einem Server permanent ein PHP- oder HHVM-Prozess läuft. Ein Webserver kann Anfragen nach entsprechenden Skripten an den FPM-Daemon weiterleiten, wo diese verarbeitet werden. FPM kann dabei entweder über einen lokalen Socket oder einen Netzwerkport angesprochen werden. Wenn FPM über einen Netzwerkport und von außen erreichbar ist, entsteht ein Sicherheitsrisiko, das im schlimmsten Fall dazu führt, dass man beliebige Dateien exfiltrieren kann.

Fast alle Dateien sind gültige PHP-Skripte

Relevant hierfür ist die Syntax von PHP-Skripten. PHP-Dateien sind zunächst einmal HTML-Dateien, deren Hauptteil einfach unverändert ausgegeben wird. Ein PHP-Skript-Teil wird durch ein "<?php" eingeleitet und ein "?>" beendet. Alles, was nicht in diesen PHP-Tags eingeschlossen ist, bleibt unverändert. Konkret heißt das, dass auch jede Datei, die keine derartigen Tags enthält, ein valides PHP-Skript ist, welches nichts weiter tut, als seinen Inhalt auszugeben.

Im Fall eines von außen erreichbaren FPM-Daemons heißt das, dass man dort eine beliebige Datei - etwa /etc/passwd/ - anfragen kann und der FPM-Daemon dann den Inhalt der Datei ausgibt. Dafür muss der Nutzer, unter dem der FPM-Daemon läuft, auf die entsprechende Datei Zugriff haben, es funktioniert also üblicherweise nicht mit Dateien, die nur der root-Nutzer lesen kann. Bei HHVM in der älteren, noch PHP-kompatiblen Version 3 funktioniert das Datenexfiltrieren direkt in der Standardeinstellung.

Testen kann man einen entsprechenden Angriff relativ trivial mit dem Kommandozeilentool cgi-fcgi, welches Teil der FastCGI-Bilbiothek ist:

  1. SCRIPT_NAME=/etc/passwd SCRIPT_FILENAME=/etc/passwd REQUEST_METHOD=GET cgi-fcgi -bind -connect [host]:9000

In PHP selbst nur geringes Risiko

In PHP selbst ist das Risiko deutlich geringer. Der FPM-Daemon von PHP lauscht in der Standardkonfiguration nicht auf einem nach außen offenen Netzwerkport. Zudem hat FPM in PHP eine Option namens "security.limit_extensions", die festlegt, dass FPM nur Dateien mit bestimmten Dateiendungen ausführen soll. Standardmäßig sind dort nur die PHP-eigenen Endungen .php und .phar erlaubt. Solange diese Einstellung nicht geändert wird, ist also eine Datenexfiltration von beliebigen Dateien nicht möglich.

Es ist allerdings trotz dieser Schutzmaßnahme nicht empfehlenswert, den FPM-Daemon von PHP im Netz lauschen zu lassen, denn nach wie vor kann ein Angreifer damit beliebige PHP-Skripte auf dem System ausführen, wenn er deren Pfade kennt. Darunter können auch Skripte sein, die nicht von außen erreichbar sein sollten.

Ein spezieller Fall ist die neuere Version 4 von HHVM. Dort wird die klassische PHP-Syntax nicht mehr unterstützt. In unseren Tests war es trotzdem so, dass Dateien teilweise exfiltriert werden konnten, aber nicht alle.

Facebook hat inzwischen auf das Problem reagiert, neuere Versionen von HHVM sind standardmäßig nicht mehr über das Netzwerk erreichbar und lauschen nur noch lokal auf dem FPM-Port.

Offenlegung: Der Autor dieses Artikels hat für den Bericht dieses Sicherheitsproblems von Facebook einen Bug Bounty erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 299,00€ (Bestpreis! zzgl. Versand)

Kleba 10. Jul 2019

Es ist immer wieder interessant zu sehen, welche möglichen Angriffsvektoren in moderner...


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Energiewende: Grüner Wasserstoff aus der Zinnschmelze
Energiewende
Grüner Wasserstoff aus der Zinnschmelze

Wasserstoff ist wichtig für die Energiewende. Er kann als Treibstoff für Brennstoffzellenautos genutzt werden und gilt als sauber. Seine Herstellung ist es aber bislang nicht. Karlsruher Forscher haben nun ein Verfahren entwickelt, bei dem kein schädliches Kohlendioxid entsteht.
Ein Bericht von Werner Pluta

  1. Brennstoffzelle Deutschland bekommt mehr Wasserstofftankstellen
  2. Energiewende Hamburg will große Wasserstoff-Elektrolyseanlage bauen

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

    •  /