Uma recente falha foi descoberta e afeta todas as versões do PHP 7 que utilizam o NGINX como servidor de web, permitindo o invasor rodar facilmente códigos remotos através da URL do site, adicionando ?a= ao endereço.

Ja foram disponibilizados as atualizações no dia 24 de outubro para as versões 7.3.11, 7.2.24, 7.1.33 que ainda são suportadas oficialmente, todas as principais distros de linux também disponibilizaram suas correções em seus repositórios oficiais, desde que ainda suportadas.

A falha é potencialmente perigosa, já que cerca de 30.6% dos servidores de web utilizam o Nginx e também certamente utilizam alguma versão do PHP 7. 

Somente são vulneráveis os servidores Nginx que estiverem usando o PHP-FPM e respectivas configurações:

• usando a diretiva location
• na location, a diretiva fastcgi_split_path_info com a regex iniciando com o simbolo ‘^’ e terminando com o símbolo ‘$’
• o fastcgi_param atribuindo a variável PATH_INFO

São configurações comuns e facilmente encontradas em diversos setups.

Para verificar se seus servidores são possivelmente vulneráveis, pode-se rodar o comando abaixo no bash:

egrep -Rin --color 'fastcgi_split_path' /etc/nginx/

O recomendo é rodar as atualizações disponíveis o quanto antes.

A descoberta foi feita em setembro durante o Real World CTF 2019 Quals por Andrew "d90pwn" Danau.

O PoC (Proof-of-Concept) foi disponilizado por seu colega Emil "neex" Lerner em seu github https://github.com/neex/phuip-fpizdam

mas depois da vulnerabilidade ser oficialmente divulgada, você encontrará mais projetos semelhantes no proprio github.

Um abraço e até mais.