高危漏洞 CVE-2023-53894 剖析：Dulldusk phpfm 弱类型比较导致的认证绕过

CVE-2023-53894：Dulldusk phpfm 中的弱认证漏洞

严重性：严重

类型：漏洞

摘要

phpfm 1.7.9 版本存在一个认证绕过漏洞，攻击者可以通过利用密码哈希验证中的松散类型比较来登录系统。攻击者可以构造以 "0e" 或 "00e" 开头的特定密码哈希值来绕过认证，并向服务器上传恶意 PHP 文件。

技术总结

被标识为 CVE-2023-53894 的漏洞影响了 Dulldusk phpfm 1.7.9 版本，这是一个 PHP 文件管理器工具。核心问题是在密码哈希验证过程中，由于松散类型比较导致的认证绕过。具体来说，应用程序以一种在弱类型比较上下文中将某些以 '0e' 或 '00e' 开头的构造哈希值视为等同于零的方式比较密码哈希。这使得攻击者无需有效凭据即可绕过认证。一旦通过认证，攻击者便可以上传任意 PHP 文件，从而实现远程代码执行和完全控制服务器。该漏洞可在远程无任何权限或用户交互的情况下被利用，使其极其危险。CVSS 4.0 评分为 9.3 分，反映了其严重性，攻击向量为网络，无需认证，并且对机密性、完整性和可用性产生高影响。目前没有相关的补丁链接，也尚未有已知的在野利用报告。该漏洞凸显了在认证逻辑，特别是在 PHP 应用程序中使用弱类型比较的风险。使用 phpfm 1.7.9 的组织应考虑立即采取风险缓解措施，并密切关注供应商 Dulldusk 的更新。

潜在影响

对于欧洲的组织而言，此漏洞构成了重大风险，尤其是那些在网络托管、开发或内容管理环境中依赖 phpfm 1.7.9 的组织。成功利用可导致未经授权的访问，使攻击者能够上传可执行任意代码、窃取敏感数据、篡改网站或转向其他内部系统的恶意 PHP 脚本。这危及受影响系统的机密性、完整性和可用性。鉴于远程、无需认证的攻击途径，攻击者可以大规模针对暴露的 phpfm 实例。对于那些根据 GDPR 处理敏感个人数据的组织来说，影响尤其严重，因为数据泄露可能导致监管处罚和声誉损害。此外，使用 phpfm 的关键基础设施或政府网络服务可能面临服务中断或间谍活动的威胁。目前尚无已知的在野利用，这为主动防御提供了一个窗口期，但其严重性要求我们给予紧急关注。

缓解建议

1. 立即使用网络级控制（如 IP 白名单、VPN 或防火墙）限制对 phpfm 接口的访问，以减少暴露面。
2. 监控 Web 服务器日志和应用程序日志，查找可能表明攻击尝试的可疑登录尝试或异常文件上传。
3. 部署配置了规则的 Web 应用程序防火墙 (WAF)，以检测并阻止恶意负载和异常的认证模式。
4. 如果非必需，则禁用或移除 phpfm 1.7.9 实例，或将它们隔离在分段网络区域中。
5. 密切关注 Dulldusk 供应商的通讯，以获取解决此漏洞的补丁或更新，并在可用后立即应用。
6. 如果存在自定义修改，进行代码审计以识别并修复认证逻辑中的弱类型比较问题。
7. 采用运行时应用程序自我保护 (RASP) 工具来检测和防止未经授权的文件上传或代码执行。
8. 向系统管理员和开发人员宣传 PHP 中松散类型比较的风险，并鼓励采用安全的编码实践。

受影响的国家

德国、英国、法国、荷兰、意大利、西班牙

aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7CdlaYDmkIRZwnu7mDgu6tLZypXURWhJ/exVoaCrzlwUg3FQtwcHyVJEeKMYGq7SBfvceh2NLLgYUjY0XSCB62p