Sam Thomas, un investigador de seguridad de Secarma, ha
descubierto una nueva técnica de exploit que podría facilitar a los piratas
informáticos desencadenar vulnerabilidades críticas de deserialización en el
lenguaje de programación PHP utilizando funciones consideradas de bajo riesgo.
La nueva técnica deja cientos de miles de aplicaciones web
abiertas para ataques remotos de ejecución de código, incluidos sitios web
impulsados por algunos sistemas populares de administración de contenido como
WordPress y Typo3.
Las vulnerabilidades de serialización PHP o inyección de
objetos se documentaron inicialmente en 2009, lo que podría permitir a un
atacante realizar diferentes tipos de ataques mediante el suministro de
entradas maliciosas a la función PHP unserialize ().
Si no lo sabe, la serialización es el proceso de conversión
de objetos de datos en una cadena simple, y el programa de ayuda de la función
de desinstalación vuelve a crear un objeto a partir de una cadena.
Thomas descubrió que un atacante puede usar funciones de
bajo riesgo contra archivos Phar para desencadenar ataques de deserialización sin
requerir el uso de la función unserialize () en una amplia gama de escenarios.
Thomas informó esta vulnerabilidad al equipo de seguridad de
WordPress a principios del año pasado, y la compañía reconoció el problema. Sin
embargo, el parche lanzado por la compañía no resolvió el problema por
completo.