Старая брешь продолжает активно использоваться злоумышленниками и ныне угрожает новому “Интернету вещей” (IoT). Исследователи в области безопасности из Symantec 27 ноября сообщили о Linux-черве, а в начале декабря специалисты Cisco нашли собственные подтверждения, что эта уязвимость теперь ставит под риск IoT.

Уязвимость, впервые идентифицированная и исправленная два с половиной года назад, сегодня по-прежнему является угрозой.

Вредоносная программа использует уязвимость в PHP, зарегистрированную под номером CVE-2012-1823, пояснил технический руководитель подразделения Cisco Security Threat Research Analysis & Communications (TRAC) Крейг Уильямс.

PHP — популярный язык программирования с открытым исходным кодом, широко применяемый во всех типах серверной инфраструктуры, включая как Windows-, так и Linux-системы.

Рассматриваемая уязвимость, позволяющая внедрить код, влияет на PHP версий 5.4.1 и ниже. Впервые она была выявлена и устранена в мае 2012 г. Сегодня самой свежей версией PHP 5.4 является 5.4.22. Связанное с CVE-2012-1823 исправление было внесено в версию PHP 5.4.2, выпущенную 3 мая 2012-го.

Cisco сумела проследить темпы PHP-инфицирования вредоносным ПО среди собственных клиентов и новой клиентуры, доставшейся ей от фирмы Sourcefire — поставщика средств безопасности сетей, которого Cisco за 2,7 млрд. долл. купила в октябре. Объединенные данные Cisco/Sourcefire показывают, что пик атак, использующих уязвимость, пришелся на 30 ноября.

Однако, считает Уильямс, злоумышленники будут эксплуатировать уязвимость и дальше, пока существуют восприимчивые к атакам системы. “Одним из факторов является простота использования этой бреши. Уязвимые версии ПО распространены довольно широко, и проблема сохранится на весьма приличное время”, — пояснил он.

PHP-уязвимость используется злоумышленниками для распространения вредоносного ПО Linux.Trojan.Zollard, предназначенного для инфицирования устройств с ОС Linux. Хотя PHP работает на многих типах серверов, нынешний раунд атак нацелен на серверы, функционирующие на встроенных устройствах, в которых обычно используется Linux.

Встраиваемые устройства, говорит Уильямс, — как раз то, что формирует “Интернет вещей”. “Дефект PHP позволяет атакующему запускать команды, заставляющие сервер загружать и исполнять вредоносное ПО Zollard”.

Как правило, Linux-системы конфигурируются со специфическими ограничениями прав доступа для различных программ и пользователей. При внедрении Zollard инфицированное устройство начинает работать с теми же самыми правами доступа, что и у веб-сервера (httpd).

У организаций есть ряд способов обезопаситься от PHP-уязвимости. Первая и самая очевидная рекомендация — просто починить PHP, хотя, замечает Уильямс, исправление PHP дело не всегда самое простое.

“Проблема в том, что многие встроенные устройства не имеют нужных возможностей для обслуживания или не позволяют устанавливать обновления из-за каких-либо зависимостей. Если эти устройства соединены с Интернетом или даже с интрасетью, их надо защитить дополнительным устройством безопасности типа системы предотвращения вторжений,” — сказал он.