Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, April 11, 2019 22:00 - noch keine Kommentare
Schwachstelle PHP: 80 Prozent aller Websites leicht angreifbar
Erster Teil des „Application Protection Report 2019“ von F5 Labs erschienen
[datensicherheit.de, 11.04.2019] Nach Erkenntnissen der F5 Labs verwenden weltweit mehr als 80 Prozent der Websites die Programmiersprache „PHP“. Doch diese sei zunehmend für IT-Angriffe verwundbar, so eine aktuelle Studie von F5 Labs und Loryka. Demnach wiesen 81 Prozent des im Jahr 2018 beobachteten schädlichen Datenverkehrs einen Bezug zu „PHP“ auf. Dies entspreche einem Anstieg von 23 Prozent gegenüber dem Vorjahr. Zudem zeige der „Application Protection Report 2019“ von F5 Labs, dass „PHP“ für 68 Prozent aller 2018 veröffentlichten Exploits verantwortlich gewesen sei.
PHP bietet breite Angriffsfläche
„Das Volumen und die Nachhaltigkeit von ,PHP‘-Exploits sind alarmierend, aber nicht überraschend“, so Sander Vinberg, „Threat Research Evangelist“ bei F5 Labs: „Auf Basis unserer Untersuchungen gehen wir davon aus, dass die Programmiersprache auf absehbare Zeit eines der schwächsten Glieder des Internets bleibt und eine breite Angriffsfläche bietet.“
Im Rahmen der Analyse hat F5 Labs nach eigenen Angaben auch spezifische PHP-Angriffstaktiken aufgedeckt. Sensoren von Loryka hätten Verbindungsversuche identifiziert und Daten wie Quell-IP und Ziel-URL erfasst: Demnach durchforsten Angreifer oft Milliarden möglicher Ziele, so dass die Zieldomain oder IP-Adresse nicht signifikant ist. Der hintere Teil der URL enthalte jedoch die Zieldatei oder den Pfad. Dies sei der spezifische Standort auf einem Webserver, den der Angreifer über alle seine Ziel-IPs hinweg anpeile und der damit auch viel über seine Ziele und Taktiken aussage.
Sieben häufige Pfade identifiziert
Loryka habe z.B. festgestellt, dass sich 42 Prozent der 1,5 Millionen einzigartigen Events, die auf mehr als 100.000 verschiedene URLs abzielten, auf nur sieben Pfade oder Dateinamen konzentrierten: „PMA2011“, „pma2011“, „PMA2012“, „pma2012“, „phpmyadmin2“, „phpmyadmin3“ und „phpmyadmin4“. Alle sieben würden häufig für die Verwaltung von „phpMyAdmin“ (auch bekannt als „PMA“) verwendet, einer „PHP“-Webanwendung zur Verwaltung von „MySQL2-Datenbanken.
Das darauf abzielende Datenvolumen sei je nach Pfad fast identisch, mit weniger als drei Prozent Differenz zwischen dem höchsten und niedrigsten Volumen. Auch das Timing der Kampagnen sei nahezu identisch gewesen. F5 Labs habe jedoch entdeckt, dass 87 Prozent des auf die gängigen „phpMyAdmin“-Pfade zielenden Datenverkehrs von nur zwei der 66.000 IPs stammten, die Lorykas Sensoren erfasst hätten. Diese beiden IPs machten 37 Prozent des gesamten überwachten Traffics 2018 aus. Der Datenverkehr von den kompromittierten IPs habe auf die sieben „PMA“-Pfade gezeigt. Keine andere einzelne IP habe dieses Datenvolumen erreicht oder die Muster repliziert – auch wenn sie auf dieselben Pfade ausgerichtet gewesen seien. Die beiden IPs stammten von Systemen eines nordamerikanischen Universitätscampus.
Missbrauch alter „MySQL“-Datenbanken mit schwacher Authentifizierung
„Unbekannte Akteure nutzen eine kleine Anzahl kompromittierter Systeme von Universitätsnetzwerken, um nach spezifischen Zielen zu suchen: alte und wahrscheinlich vernachlässigte ,MySQL‘-Datenbanken mit schwacher Authentifizierung“, erläutert Vinberg. „Sie haben wenige Zielparameter definiert, durchsuchen aber das gesamte Web nach einer kleinen Anzahl von Adressen – und versuchen dabei kaum, ihre Spuren zu verwischen. Schutz bieten Whitelisting-Authentifizierungsseiten für Verwaltungsoberflächen.“
Außerdem verringerten „robuste Zugangskontrollen mit starken Passwörtern oder Multifaktor-Authentifizierung“ das Risiko. Die vorliegende „PHP“-Analyse bildet laut F5 Labs den ersten Teil des „Application Protection Report 2019“. Weitere Teile sollen im Laufe des Jahres veröffentlicht werden.
Weitere Informationen zum Thema:
F5 LABS, 25.03.2019
Application Protection Report 2019, Episode 1: PHP Reconnaissance
datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt
datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert
datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren