F5 Labs: 80 Prozent aller Websites leicht angreifbar

Weltweit verwenden mehr als 80 Prozent der Websites die Programmiersprache PHP. Doch diese ist zunehmend für IT-Angriffe verwundbar, so eine aktuelle Studie von F5 Labs und Loryka. [...]

Die Programmiersprache PHP bleibt laut F5 Labs auf absehbare Zeit eines der schwächsten Glieder des Internets. (c) pixabay
Die Programmiersprache PHP bleibt laut F5 Labs auf absehbare Zeit eines der schwächsten Glieder des Internets. (c) pixabay

Demnach wiesen 81 Prozent des im Jahr 2018 beobachteten schädlichen Datenverkehrs einen Bezug zu PHP auf. Dies entspricht einem Anstieg von 23 Prozent gegenüber dem Vorjahr. Zudem zeigt der Application Protection Report 2019 von F5 Labs, dass PHP für 68 Prozent aller 2018 veröffentlichten Exploits verantwortlich war.

„Das Volumen und die Nachhaltigkeit von PHP Exploits sind alarmierend, aber nicht überraschend“, sagt Sander Vinberg, Threat Research Evangelist, F5 Labs. „Auf Basis unserer Untersuchungen gehen wir davon aus, dass die Programmiersprache auf absehbare Zeit eines der schwächsten Glieder des Internets bleibt und eine breite Angriffsfläche bietet.“

Im Rahmen der Analyse deckte F5 Labs auch spezifische PHP-Angriffstaktiken auf. Sensoren von Loryka identifizierten Verbindungsversuche und erfassten Daten wie Quell-IP und Ziel-URL. Demnach durchforsten Angreifer oft Milliarden möglicher Ziele, so dass die Zieldomain oder IP-Adresse nicht signifikant ist. Der hintere Teil der URL enthält jedoch die Zieldatei oder den Pfad. Dies ist der spezifische Standort auf einem Webserver, den der Angreifer über alle seine Ziel-IPs hinweg anpeilt und der damit auch viel über seine Ziele und Taktiken aussagt.

Sieben häufige Pfade

Zum Beispiel bemerkte Loryka, dass sich 42 Prozent der 1,5 Millionen einzigartigen Events, die auf mehr als 100.000 verschiedene URLs abzielten, auf nur sieben Pfade oder Dateinamen konzentrierten: PMA2011, pma2011, PMA2012, pma2012, phpmyadmin2, phpmyadmin3 und phpmyadmin4. Alle sieben werden häufig für die Verwaltung von phpMyAdmin (auch bekannt als PMA) verwendet, einer PHP-Webanwendung zur Verwaltung von MySQL-Datenbanken.

Das darauf abzielende Datenvolumen war je nach Pfad fast identisch, mit weniger als 3 Prozent Differenz zwischen dem höchsten und niedrigsten Volumen. Auch das Timing der Kampagnen war nahezu identisch. F5 Labs entdeckte jedoch, dass 87 Prozent des Datenverkehrs, der auf die gängigen phpMyAdmin-Pfade zielte, von nur zwei der 66.000 IPs stammten, die Lorykas Sensoren erfassten. Diese beiden IPs machten 37 Prozent des gesamten überwachten Traffics 2018 aus. Der Datenverkehr von den kompromittierten IPs zeigte auf die sieben PMA-Pfade. Keine andere einzelne IP erreichte dieses Datenvolumen oder replizierte die Muster – auch wenn sie auf dieselben Pfade ausgerichtet war. Die beiden IPs stammen von Systemen eines nordamerikanischen Universitätscampus.

„Unbekannte Akteure nutzen eine kleine Anzahl kompromittierter Systeme von Universitätsnetzwerken, um nach spezifischen Zielen zu suchen: alte und wahrscheinlich vernachlässigte MySQL-Datenbanken mit schwacher Authentifizierung“, erklärt Vinberg. „Sie haben wenige Zielparameter definiert, durchsuchen aber das gesamte Web nach einer kleinen Anzahl von Adressen – und versuchen dabei kaum, ihre Spuren zu verwischen. Schutz bieten Whitelisting-Authentifizierungsseiten für Verwaltungsoberflächen. Außerdem verringern robuste Zugangskontrollen mit starken Passwörtern oder Multifaktor-Authentifizierung das Risiko.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*