На конференции Black Hat исследователь из компании Secarama продемонстрировал новый метод атаки через функцию десериализации языка PHP, часто использующегося в веб-серверах. Подобные атаки известны еще с 2009 года, и, по некоторым сведениям, именно уязвимость функции десериализации послужила отправной точкой во взломе сайта кредитного бюро Equifax и кражи данных 143 млн человек. Известны также методы защиты от таких атак, но в свете новых данных, как считает исследователь, риски, связанные с десериализацией в PHP, следует оценить заново.
Сериализация и десериализация в PHP заключаются в преобразовании объектов данных в простые строки и обратно и применяется для хранения данных в архивах и прочих целей. Архивы формата Phar, использующиеся в PHP, содержат данные в сериализованном виде и, как показал исследователь, функции работы с такими архивами, считавшиеся до сих пор достаточно безопасными, могут предоставить путь для эксплуатации уязвимости в функциях десериализации. В некоторых случаях для выполнения произвольного кода PHP на сервере, работающем на платформе Wordpress, злоумышленнику может быть достаточно загрузить специальным образом сформированный архив Phar, замаскированный под изображение в формате JPEG путем смены заголовка файла.
