FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.

Eine Exklusivmeldung von veröffentlicht am
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM.
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM. (Bild: sailko/Wikimedia Commons/CC-BY-SA 3.0)

Die Nutzung von Facebooks HHVM kann in der Standardeinstellung dazu führen, dass Angreifer Dateien eines Servers exfiltrieren können. Schuld daran ist der sogenannte FastCGI Process Manager (FPM), eine ursprünglich von PHP entwickelte Methode, um CGI-Skripte schneller ausführen zu können. PHP selbst ist zwar theoretisch ebenfalls betroffen, allerdings sorgen einige Schutzmechanismen dafür, dass das Risiko dort deutlich geringer ist.

Stellenmarkt
  1. SAP-Anwendungsbetreuer (m/w/d) Module FI/CO und HCM
    rose plastic AG, Hergensweiler bei Lindau
  2. Softwareentwickler (m/w/d)
    M-IT Lösungen GmbH, Martinsried
Detailsuche

HHVM oder Hiphop Virtual Machine war ursprünglich eine von Facebook entwickelte Implementierung der Programmiersprache PHP. Allerdings hat sich HHVM inzwischen in eine andere Richtung entwickelt, Facebook hat Teile der Syntax geändert und aktuelle Versionen implementieren inzwischen eine eigene Programmiersprache namens HACK. Die aktuelle Version 4 von HHVM unterstützt PHP nicht mehr.

FPM funktioniert so, dass auf einem Server permanent ein PHP- oder HHVM-Prozess läuft. Ein Webserver kann Anfragen nach entsprechenden Skripten an den FPM-Daemon weiterleiten, wo diese verarbeitet werden. FPM kann dabei entweder über einen lokalen Socket oder einen Netzwerkport angesprochen werden. Wenn FPM über einen Netzwerkport und von außen erreichbar ist, entsteht ein Sicherheitsrisiko, das im schlimmsten Fall dazu führt, dass man beliebige Dateien exfiltrieren kann.

Fast alle Dateien sind gültige PHP-Skripte

Relevant hierfür ist die Syntax von PHP-Skripten. PHP-Dateien sind zunächst einmal HTML-Dateien, deren Hauptteil einfach unverändert ausgegeben wird. Ein PHP-Skript-Teil wird durch ein "<?php" eingeleitet und ein "?>" beendet. Alles, was nicht in diesen PHP-Tags eingeschlossen ist, bleibt unverändert. Konkret heißt das, dass auch jede Datei, die keine derartigen Tags enthält, ein valides PHP-Skript ist, welches nichts weiter tut, als seinen Inhalt auszugeben.

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
Weitere IT-Trainings

Im Fall eines von außen erreichbaren FPM-Daemons heißt das, dass man dort eine beliebige Datei - etwa /etc/passwd/ - anfragen kann und der FPM-Daemon dann den Inhalt der Datei ausgibt. Dafür muss der Nutzer, unter dem der FPM-Daemon läuft, auf die entsprechende Datei Zugriff haben, es funktioniert also üblicherweise nicht mit Dateien, die nur der root-Nutzer lesen kann. Bei HHVM in der älteren, noch PHP-kompatiblen Version 3 funktioniert das Datenexfiltrieren direkt in der Standardeinstellung.

Testen kann man einen entsprechenden Angriff relativ trivial mit dem Kommandozeilentool cgi-fcgi, welches Teil der FastCGI-Bilbiothek ist:

  1. SCRIPT_NAME=/etc/passwd SCRIPT_FILENAME=/etc/passwd REQUEST_METHOD=GET cgi-fcgi -bind -connect [host]:9000

In PHP selbst nur geringes Risiko

In PHP selbst ist das Risiko deutlich geringer. Der FPM-Daemon von PHP lauscht in der Standardkonfiguration nicht auf einem nach außen offenen Netzwerkport. Zudem hat FPM in PHP eine Option namens "security.limit_extensions", die festlegt, dass FPM nur Dateien mit bestimmten Dateiendungen ausführen soll. Standardmäßig sind dort nur die PHP-eigenen Endungen .php und .phar erlaubt. Solange diese Einstellung nicht geändert wird, ist also eine Datenexfiltration von beliebigen Dateien nicht möglich.

Es ist allerdings trotz dieser Schutzmaßnahme nicht empfehlenswert, den FPM-Daemon von PHP im Netz lauschen zu lassen, denn nach wie vor kann ein Angreifer damit beliebige PHP-Skripte auf dem System ausführen, wenn er deren Pfade kennt. Darunter können auch Skripte sein, die nicht von außen erreichbar sein sollten.

Ein spezieller Fall ist die neuere Version 4 von HHVM. Dort wird die klassische PHP-Syntax nicht mehr unterstützt. In unseren Tests war es trotzdem so, dass Dateien teilweise exfiltriert werden konnten, aber nicht alle.

Facebook hat inzwischen auf das Problem reagiert, neuere Versionen von HHVM sind standardmäßig nicht mehr über das Netzwerk erreichbar und lauschen nur noch lokal auf dem FPM-Port.

Offenlegung: Der Autor dieses Artikels hat für den Bericht dieses Sicherheitsproblems von Facebook einen Bug Bounty erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nachfolger von Windows 10
Dinge, die es in Windows 11 nicht mehr geben wird

Bei Windows 11 kommt viel Neues hinzu, auf der anderen Seite entfernt Microsoft eine Menge Ballast - eine Übersicht.
Von Oliver Nickel

Nachfolger von Windows 10: Dinge, die es in Windows 11 nicht mehr geben wird
Artikel
  1. Smartphones, Tablets und Co.: Bundestag beschließt Update-Pflicht
    Smartphones, Tablets und Co.
    Bundestag beschließt Update-Pflicht

    Elektronische Geräte müssen künftig verpflichtend aktualisiert werden - das Gleiche gilt auch für Apps.

  2. Crackonosh: Hacker verstecken Mining-Malware in illegalen Spielekopien
    Crackonosh
    Hacker verstecken Mining-Malware in illegalen Spielekopien

    Experten melden die massenweise Verbreitung von Mining-Malware über illegal kopierte Spiele. Crackonosh bringt den Kriminellen demnach Millionen ein.

  3. Logistik: Hamburger Hafen testet autonom fahrenden Lkw
    Logistik
    Hamburger Hafen testet autonom fahrenden Lkw

    Wie werden Container angemessen zu einem automatisierten Hafenterminal angeliefert? Von einem autonom fahrenden Lkw.

Kleba 10. Jul 2019

Es ist immer wieder interessant zu sehen, welche möglichen Angriffsvektoren in moderner...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate: Ryzen 7 5800 X 359€, Ryzen 5 5600 X 249€ • Gigabyte Z490M 119,90€ • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Trust Gaming Audio-Zubehör • Kaspersky Flash Sale: 60% Rabatt auf Security-Programme [Werbung]
    •  /