Эксперты обнаружили в ветке PHP 7 уязвимость CVE-2019-11043, которая позволяет хакерам выполнять команды на сервере с помощью специально сформированного URL с добавлением '?a='.
Данный баг активно применяется при атаках, так как его просто эксплуатировать. Проблему усугубило то, что в октябре на GitHub появился PoC-код для определения уязвимых серверов. Он отправляет специально сформированные запросы, чтобы выяснить, уязвим ли тот или иной сервер. При этом атаки возможны только в отношении NGINX-серверов с включенным PHP-FPM (программным пакетом для обработки скриптов на языке PHP).
Уязвимость найдена в конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи
fastcgi_split_path_info и определением переменной окружения PATH_INFO, но без предпроверки существования файла директивой try_files $fastcgi_script_name или конструкцией if (!-f $document_root$fastcgi_script_name). 
«С помощью специально сформированного URL атакующий может добиться смещения указателя
path_info на первый байт структуры _fcgi_data_seg. Запись нуля в этот байт приведет к перемещению указателя `char* pos` на ранее идущую область памяти, вызываемый следом FCGI_PUTENV перезаписывает некоторые данные (включая другие переменные ast cgi)», — так описана уязвимость. То есть, хакер может создать фиктивную переменную PHP_VALUE fcgi и добиться выполнения кода.Для данной уязвимости уже выпустили патч. Пользователям рекомендовали обновиться до новейших версий PHP 7.3.11 и PHP 7.2.24. Для тех, кто не может обновиться, представлена инструкция с использованием стандартной утилиты брандмауэра.
Ранее сообщалось об обнаружении вредоносной программы Spidey Bot, которая использует легитимный клиент Discord для Windows как средство для шпионажа и кражи информации. Spidey Bot добавляет вредоносный JavaScript, который способен использовать команды Discord API, чтобы собирать данные о пользователе. Затем вся информация передается злоумышленнику через веб-хук Discord.
