Weltweit verwenden mehr als 80 Prozent der Websites die Programmiersprache PHP. Doch diese ist zunehmend für IT-Angriffe verwundbar, so eine aktuelle Studie von F5 Labs und Loryka. [...]
Demnach wiesen 81 Prozent des im Jahr 2018 beobachteten schädlichen Datenverkehrs einen Bezug zu PHP auf. Dies entspricht einem Anstieg von 23 Prozent gegenüber dem Vorjahr. Zudem zeigt der Application Protection Report 2019 von F5 Labs, dass PHP für 68 Prozent aller 2018 veröffentlichten Exploits verantwortlich war.
„Das Volumen und die Nachhaltigkeit von PHP Exploits sind alarmierend, aber nicht überraschend“, sagt Sander Vinberg, Threat Research Evangelist, F5 Labs. „Auf Basis unserer Untersuchungen gehen wir davon aus, dass die Programmiersprache auf absehbare Zeit eines der schwächsten Glieder des Internets bleibt und eine breite Angriffsfläche bietet.“
Im Rahmen der Analyse deckte F5 Labs auch spezifische PHP-Angriffstaktiken auf. Sensoren von Loryka identifizierten Verbindungsversuche und erfassten Daten wie Quell-IP und Ziel-URL. Demnach durchforsten Angreifer oft Milliarden möglicher Ziele, so dass die Zieldomain oder IP-Adresse nicht signifikant ist. Der hintere Teil der URL enthält jedoch die Zieldatei oder den Pfad. Dies ist der spezifische Standort auf einem Webserver, den der Angreifer über alle seine Ziel-IPs hinweg anpeilt und der damit auch viel über seine Ziele und Taktiken aussagt.
Sieben häufige Pfade
Zum Beispiel bemerkte Loryka, dass sich 42 Prozent der 1,5 Millionen einzigartigen Events, die auf mehr als 100.000 verschiedene URLs abzielten, auf nur sieben Pfade oder Dateinamen konzentrierten: PMA2011, pma2011, PMA2012, pma2012, phpmyadmin2, phpmyadmin3 und phpmyadmin4. Alle sieben werden häufig für die Verwaltung von phpMyAdmin (auch bekannt als PMA) verwendet, einer PHP-Webanwendung zur Verwaltung von MySQL-Datenbanken.
Das darauf abzielende Datenvolumen war je nach Pfad fast identisch, mit weniger als 3 Prozent Differenz zwischen dem höchsten und niedrigsten Volumen. Auch das Timing der Kampagnen war nahezu identisch. F5 Labs entdeckte jedoch, dass 87 Prozent des Datenverkehrs, der auf die gängigen phpMyAdmin-Pfade zielte, von nur zwei der 66.000 IPs stammten, die Lorykas Sensoren erfassten. Diese beiden IPs machten 37 Prozent des gesamten überwachten Traffics 2018 aus. Der Datenverkehr von den kompromittierten IPs zeigte auf die sieben PMA-Pfade. Keine andere einzelne IP erreichte dieses Datenvolumen oder replizierte die Muster – auch wenn sie auf dieselben Pfade ausgerichtet war. Die beiden IPs stammen von Systemen eines nordamerikanischen Universitätscampus.
„Unbekannte Akteure nutzen eine kleine Anzahl kompromittierter Systeme von Universitätsnetzwerken, um nach spezifischen Zielen zu suchen: alte und wahrscheinlich vernachlässigte MySQL-Datenbanken mit schwacher Authentifizierung“, erklärt Vinberg. „Sie haben wenige Zielparameter definiert, durchsuchen aber das gesamte Web nach einer kleinen Anzahl von Adressen – und versuchen dabei kaum, ihre Spuren zu verwischen. Schutz bieten Whitelisting-Authentifizierungsseiten für Verwaltungsoberflächen. Außerdem verringern robuste Zugangskontrollen mit starken Passwörtern oder Multifaktor-Authentifizierung das Risiko.“
Be the first to comment