Schwachstelle PHP: 80 Prozent aller Websites leicht angreifbar

Erster Teil des „Application Protection Report 2019“ von F5 Labs erschienen

[datensicherheit.de, 11.04.2019] Nach Erkenntnissen der F5 Labs verwenden weltweit mehr als 80 Prozent der Websites die Programmiersprache „PHP“. Doch diese sei zunehmend für IT-Angriffe verwundbar, so eine aktuelle Studie von F5 Labs und Loryka. Demnach wiesen 81 Prozent des im Jahr 2018 beobachteten schädlichen Datenverkehrs einen Bezug zu „PHP“ auf. Dies entspreche einem Anstieg von 23 Prozent gegenüber dem Vorjahr. Zudem zeige der „Application Protection Report 2019“ von F5 Labs, dass „PHP“ für 68 Prozent aller 2018 veröffentlichten Exploits verantwortlich gewesen sei.

PHP bietet breite Angriffsfläche

„Das Volumen und die Nachhaltigkeit von ,PHP‘-Exploits sind alarmierend, aber nicht überraschend“, so Sander Vinberg, „Threat Research Evangelist“ bei F5 Labs: „Auf Basis unserer Untersuchungen gehen wir davon aus, dass die Programmiersprache auf absehbare Zeit eines der schwächsten Glieder des Internets bleibt und eine breite Angriffsfläche bietet.“
Im Rahmen der Analyse hat F5 Labs nach eigenen Angaben auch spezifische PHP-Angriffstaktiken aufgedeckt. Sensoren von Loryka hätten Verbindungsversuche identifiziert und Daten wie Quell-IP und Ziel-URL erfasst: Demnach durchforsten Angreifer oft Milliarden möglicher Ziele, so dass die Zieldomain oder IP-Adresse nicht signifikant ist. Der hintere Teil der URL enthalte jedoch die Zieldatei oder den Pfad. Dies sei der spezifische Standort auf einem Webserver, den der Angreifer über alle seine Ziel-IPs hinweg anpeile und der damit auch viel über seine Ziele und Taktiken aussage.

Sieben häufige Pfade identifiziert

Loryka habe z.B. festgestellt, dass sich 42 Prozent der 1,5 Millionen einzigartigen Events, die auf mehr als 100.000 verschiedene URLs abzielten, auf nur sieben Pfade oder Dateinamen konzentrierten: „PMA2011“, „pma2011“, „PMA2012“, „pma2012“, „phpmyadmin2“, „phpmyadmin3“ und „phpmyadmin4“. Alle sieben würden häufig für die Verwaltung von „phpMyAdmin“ (auch bekannt als „PMA“) verwendet, einer „PHP“-Webanwendung zur Verwaltung von „MySQL2-Datenbanken.
Das darauf abzielende Datenvolumen sei je nach Pfad fast identisch, mit weniger als drei Prozent Differenz zwischen dem höchsten und niedrigsten Volumen. Auch das Timing der Kampagnen sei nahezu identisch gewesen. F5 Labs habe jedoch entdeckt, dass 87 Prozent des auf die gängigen „phpMyAdmin“-Pfade zielenden Datenverkehrs von nur zwei der 66.000 IPs stammten, die Lorykas Sensoren erfasst hätten. Diese beiden IPs machten 37 Prozent des gesamten überwachten Traffics 2018 aus. Der Datenverkehr von den kompromittierten IPs habe auf die sieben „PMA“-Pfade gezeigt. Keine andere einzelne IP habe dieses Datenvolumen erreicht oder die Muster repliziert – auch wenn sie auf dieselben Pfade ausgerichtet gewesen seien. Die beiden IPs stammten von Systemen eines nordamerikanischen Universitätscampus.

Missbrauch alter „MySQL“-Datenbanken mit schwacher Authentifizierung

„Unbekannte Akteure nutzen eine kleine Anzahl kompromittierter Systeme von Universitätsnetzwerken, um nach spezifischen Zielen zu suchen: alte und wahrscheinlich vernachlässigte ,MySQL‘-Datenbanken mit schwacher Authentifizierung“, erläutert Vinberg. „Sie haben wenige Zielparameter definiert, durchsuchen aber das gesamte Web nach einer kleinen Anzahl von Adressen – und versuchen dabei kaum, ihre Spuren zu verwischen. Schutz bieten Whitelisting-Authentifizierungsseiten für Verwaltungsoberflächen.“
Außerdem verringerten „robuste Zugangskontrollen mit starken Passwörtern oder Multifaktor-Authentifizierung“ das Risiko. Die vorliegende „PHP“-Analyse bildet laut F5 Labs den ersten Teil des „Application Protection Report 2019“. Weitere Teile sollen im Laufe des Jahres veröffentlicht werden.

Weitere Informationen zum Thema:

F5 LABS, 25.03.2019
Application Protection Report 2019, Episode 1: PHP Reconnaissance

datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet