Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, April 11, 2019 22:00 - noch keine Kommentare
Schwachstelle PHP: 80 Prozent aller Websites leicht angreifbar
Erster Teil des „Application Protection Report 2019“ von F5 Labs erschienen
[datensicherheit.de, 11.04.2019] Nach Erkenntnissen der F5 Labs verwenden weltweit mehr als 80 Prozent der Websites die Programmiersprache „PHP“. Doch diese sei zunehmend für IT-Angriffe verwundbar, so eine aktuelle Studie von F5 Labs und Loryka. Demnach wiesen 81 Prozent des im Jahr 2018 beobachteten schädlichen Datenverkehrs einen Bezug zu „PHP“ auf. Dies entspreche einem Anstieg von 23 Prozent gegenüber dem Vorjahr. Zudem zeige der „Application Protection Report 2019“ von F5 Labs, dass „PHP“ für 68 Prozent aller 2018 veröffentlichten Exploits verantwortlich gewesen sei.
PHP bietet breite Angriffsfläche
„Das Volumen und die Nachhaltigkeit von ,PHP‘-Exploits sind alarmierend, aber nicht überraschend“, so Sander Vinberg, „Threat Research Evangelist“ bei F5 Labs: „Auf Basis unserer Untersuchungen gehen wir davon aus, dass die Programmiersprache auf absehbare Zeit eines der schwächsten Glieder des Internets bleibt und eine breite Angriffsfläche bietet.“
Im Rahmen der Analyse hat F5 Labs nach eigenen Angaben auch spezifische PHP-Angriffstaktiken aufgedeckt. Sensoren von Loryka hätten Verbindungsversuche identifiziert und Daten wie Quell-IP und Ziel-URL erfasst: Demnach durchforsten Angreifer oft Milliarden möglicher Ziele, so dass die Zieldomain oder IP-Adresse nicht signifikant ist. Der hintere Teil der URL enthalte jedoch die Zieldatei oder den Pfad. Dies sei der spezifische Standort auf einem Webserver, den der Angreifer über alle seine Ziel-IPs hinweg anpeile und der damit auch viel über seine Ziele und Taktiken aussage.
Sieben häufige Pfade identifiziert
Loryka habe z.B. festgestellt, dass sich 42 Prozent der 1,5 Millionen einzigartigen Events, die auf mehr als 100.000 verschiedene URLs abzielten, auf nur sieben Pfade oder Dateinamen konzentrierten: „PMA2011“, „pma2011“, „PMA2012“, „pma2012“, „phpmyadmin2“, „phpmyadmin3“ und „phpmyadmin4“. Alle sieben würden häufig für die Verwaltung von „phpMyAdmin“ (auch bekannt als „PMA“) verwendet, einer „PHP“-Webanwendung zur Verwaltung von „MySQL2-Datenbanken.
Das darauf abzielende Datenvolumen sei je nach Pfad fast identisch, mit weniger als drei Prozent Differenz zwischen dem höchsten und niedrigsten Volumen. Auch das Timing der Kampagnen sei nahezu identisch gewesen. F5 Labs habe jedoch entdeckt, dass 87 Prozent des auf die gängigen „phpMyAdmin“-Pfade zielenden Datenverkehrs von nur zwei der 66.000 IPs stammten, die Lorykas Sensoren erfasst hätten. Diese beiden IPs machten 37 Prozent des gesamten überwachten Traffics 2018 aus. Der Datenverkehr von den kompromittierten IPs habe auf die sieben „PMA“-Pfade gezeigt. Keine andere einzelne IP habe dieses Datenvolumen erreicht oder die Muster repliziert – auch wenn sie auf dieselben Pfade ausgerichtet gewesen seien. Die beiden IPs stammten von Systemen eines nordamerikanischen Universitätscampus.
Missbrauch alter „MySQL“-Datenbanken mit schwacher Authentifizierung
„Unbekannte Akteure nutzen eine kleine Anzahl kompromittierter Systeme von Universitätsnetzwerken, um nach spezifischen Zielen zu suchen: alte und wahrscheinlich vernachlässigte ,MySQL‘-Datenbanken mit schwacher Authentifizierung“, erläutert Vinberg. „Sie haben wenige Zielparameter definiert, durchsuchen aber das gesamte Web nach einer kleinen Anzahl von Adressen – und versuchen dabei kaum, ihre Spuren zu verwischen. Schutz bieten Whitelisting-Authentifizierungsseiten für Verwaltungsoberflächen.“
Außerdem verringerten „robuste Zugangskontrollen mit starken Passwörtern oder Multifaktor-Authentifizierung“ das Risiko. Die vorliegende „PHP“-Analyse bildet laut F5 Labs den ersten Teil des „Application Protection Report 2019“. Weitere Teile sollen im Laufe des Jahres veröffentlicht werden.
Weitere Informationen zum Thema:
F5 LABS, 25.03.2019
Application Protection Report 2019, Episode 1: PHP Reconnaissance
datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt
datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert
datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet
Aktuelles, Experten - Feb. 8, 2025 0:13 - noch keine Kommentare
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
weitere Beiträge in Experten
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
Aktuelles, Branche - Feb. 8, 2025 0:26 - noch keine Kommentare
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
weitere Beiträge in Branche
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren