Logo
Hamburger Menu Icon
Yoroi Background

Attacchi verso Applicazioni PHP Zend e Laminas

01/21/2021

Proto: N030121.

Con la presente Yoroi desidera informarla relativamente al recente incremento di attacchi ai danni di tecnologie PHP Zend e Laminas, utilizzate per la realizzazione di applicazioni web da parte di organizzazioni ed imprese. 

In particolare, la botnet malware denominata “FreakOut” (TH-264) sta utilizzando la vulnerabilità CVE-2021-3007 di Zend Framework e Laminas Project per compromettere sistemi e servizi web PHP esposti ad internet.

La particolare falla è causata da alcune lacune nella gestione delle richieste HTTP all’interno dei framework Zend e Laminas. Il framework, infatti, può permettere ad un attaccante remoto di eseguire codice arbitrario sul sistema vulnerabile qualora all’interno del codice applicativo PHP vengano utilizzate primitive non sicure. 

Il Produttore ha confermato la vulnerabilità ed ha rilasciato una apposita patch per il solo framework Laminas Project, in quanto Zend è fuori supporto da Dicembre 2019. Attualmente risultano afflitte le seguenti tecnologie:

  • Zend Framework versione 3.0.0
  • Laminas Project laminas-http precedenti a versione 2.14.2

Considerata la potenziale esposizione internet dei sistemi afflitti, la pubblicazione dei codici di Proof of Concept e le recenti ondate di attacco, CERT-Yoroi suggerisce di pianificare l’aggiornamento del framework Laminas Project, qualora invece si utilizzi il framework PHP Zend Framework, si consiglia di valutare la migrazione a Laminas Project.  Qualora non fosse possibile effettuare avanzamenti di versione, si consiglia di effettuare il porting delle patch per Laminas all’interno delle codebase dei framework Zend eventualmente in uso.

Per scongiurare lo sfruttamento della vulnerabilità, si consiglia di valutare attività di Code Review per verificare l’eventuale presenza di usi insicuri di funzioni PHP come unserialize() all’interno del codice applicativo su framework Zend o Laminas, e di preferire funzioni implicitamente più sicure per lo scambio di dati JSON come json_decode() e json_encode().

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram