Descubiertas tres vulnerabilidades día cero en el lenguaje PHP 7

PHP 7, la última versión del popular lenguaje de programación web utilizado en más del 80% de los sitios, ofrece grandes ventajas tanto para los propietarios de las web como para los desarrolladores, desde mejoras importantes en el rendimiento, llegando a duplicarlo, hasta la posibilidad de incorporar numerosas funcionalidades. Pero para los ciberdelincuentes representa también un nuevo vector de ataque donde pueden descubrir vulnerabilidades hasta ahora desconocidas.

Durante los últimos meses, Check Point ha analizado el lenguaje PHP 7, tomando especial atención en una de sus áreas vulnerables más evidentes, la conocida como the unserialize mechanism (función “unserialize”). Esta misma función ya había sido aprovechada en el lenguaje PHP 5, permitiendo a los hackers poner en peligro populares plataformas como Magento, vBulletin, Drupal, Joomla!, el sitio web Pornhub y otros muchos servidores web. La forma de infección fue mediante el envío de datos maliciosos dentro de las cookies de cliente o llamadas a la API.

Después de un profundo análisis, el equipo de investigadores de Check Point descubrió tres vulnerabilidades en la función unserialize hasta ahora desconocidas (CVE-2016-7479, CVE-2016-7480 y CVE-2016-7478). Estos puntos débiles pueden ser aprovechados.

Los dos primeros problemas en la seguridad permiten a los atacantes obtener el control total de los servidores, permitiéndoles hacer lo que quieran con el sitio web, desde distribuir malware hasta modificar la página, incluso obtener datos de sus clientes.

La última de las vulnerabilidades da lugar a un ataque de denegación del servicio DDoS que termina colgando la web, consumiendo toda la memoria y cerrándola. Check Point informó de estas tres vulnerabilidades al equipo de seguridad de PHP el 15 de septiembre y el 6 de agosto.

 

El equipo de seguridad de PHP hizo llegar el 13 de octubre y el 1 de diciembre parches para dos de las vulnerabilidades. Además, Check Point distribuyó el 18 y el 31 de octubre firmas IPS para solucionar estos fallos, protegiendo a sus clientes frente a cualquier intento de terceros de aprovecharse de ellas.

Para poder hacer frente a esta y a otras amenazas de día cero, las soluciones tradicionales de ciberseguridad no sirven. Solo con las mejores tecnologías de prevención las empresas pueden adelantarse a los piratas informáticos y mantener a salvo sus datos.

 

IDG.es