F5 Labs: 80 Prozent aller Websites leicht angreifbar
Vier Fünftel der bekannt gewordenen Angriffe im Jahr 2018 mit Bezug zu PHP
(IINews) - München, 10. April 2019 – Weltweit verwenden mehr als 80 Prozent der Websites die Programmiersprache PHP. Doch diese ist zunehmend für IT-Angriffe verwundbar, so eine aktuelle Studie von F5 Labs und Loryka. Demnach wiesen 81 Prozent des im Jahr 2018 beobachteten schädlichen Datenverkehrs einen Bezug zu PHP auf. Dies entspricht einem Anstieg von 23 Prozent gegenüber dem Vorjahr. Zudem zeigt der Application Protection Report 2019 von F5 Labs, dass PHP für 68 Prozent aller 2018 veröffentlichten Exploits verantwortlich war.
„Das Volumen und die Nachhaltigkeit von PHP Exploits sind alarmierend, aber nicht überraschend“, sagt Sander Vinberg, Threat Research Evangelist, F5 Labs. „Auf Basis unserer Untersuchungen gehen wir davon aus, dass die Programmiersprache auf absehbare Zeit eines der schwächsten Glieder des Internets bleibt und eine breite Angriffsfläche bietet.“
Im Rahmen der Analyse deckte F5 Labs auch spezifische PHP-Angriffstaktiken auf. Sensoren von Loryka identifizierten Verbindungsversuche und erfassten Daten wie Quell-IP und Ziel-URL. Demnach durchforsten Angreifer oft Milliarden möglicher Ziele, so dass die Zieldomain oder IP-Adresse nicht signifikant ist. Der hintere Teil der URL enthält jedoch die Zieldatei oder den Pfad. Dies ist der spezifische Standort auf einem Webserver, den der Angreifer über alle seine Ziel-IPs hinweg anpeilt und der damit auch viel über seine Ziele und Taktiken aussagt.
Sieben häufige Pfade
Zum Beispiel bemerkte Loryka, dass sich 42 Prozent der 1,5 Millionen einzigartigen Events, die auf mehr als 100.000 verschiedene URLs abzielten, auf nur sieben Pfade oder Dateinamen konzentrierten: PMA2011, pma2011, PMA2012, pma2012, phpmyadmin2, phpmyadmin3 und phpmyadmin4. Alle sieben werden häufig für die Verwaltung von phpMyAdmin (auch bekannt als PMA) verwendet, einer PHP-Webanwendung zur Verwaltung von MySQL-Datenbanken.
Das darauf abzielende Datenvolumen war je nach Pfad fast identisch, mit weniger als 3 Prozent Differenz zwischen dem höchsten und niedrigsten Volumen. Auch das Timing der Kampagnen war nahezu identisch. F5 Labs entdeckte jedoch, dass 87 Prozent des Datenverkehrs, der auf die gängigen phpMyAdmin-Pfade zielte, von nur zwei der 66.000 IPs stammten, die Lorykas Sensoren erfassten. Diese beiden IPs machten 37 Prozent des gesamten überwachten Traffics 2018 aus. Der Datenverkehr von den kompromittierten IPs zeigte auf die sieben PMA-Pfade. Keine andere einzelne IP erreichte dieses Datenvolumen oder replizierte die Muster – auch wenn sie auf dieselben Pfade ausgerichtet war. Die beiden IPs stammen von Systemen eines nordamerikanischen Universitätscampus.
„Unbekannte Akteure nutzen eine kleine Anzahl kompromittierter Systeme von Universitätsnetzwerken, um nach spezifischen Zielen zu suchen: alte und wahrscheinlich vernachlässigte MySQL-Datenbanken mit schwacher Authentifizierung“, erklärt Vinberg. „Sie haben wenige Zielparameter definiert, durchsuchen aber das gesamte Web nach einer kleinen Anzahl von Adressen – und versuchen dabei kaum, ihre Spuren zu verwischen. Schutz bieten Whitelisting-Authentifizierungsseiten für Verwaltungsoberflächen. Außerdem verringern robuste Zugangskontrollen mit starken Passwörtern oder Multifaktor-Authentifizierung das Risiko.“
Die PHP-Analyse von F5 Labs bildet den ersten Teil des Application Protection Report 2019. Weitere Teile werden im Laufe des Jahres veröffentlicht.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Über F5 Networks
F5 (NASDAQ: FFIV) gibt den weltweit größten Unternehmen, Dienstleistern, Behörden und Verbrauchermarken die Freiheit, jede App sicher, überall und mit Vertrauen bereitzustellen. F5 bietet Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die von ihnen gewählte Infrastruktur zu nutzen, ohne Geschwindigkeit und Kontrolle zu beeinträchtigen. Weitere Informationen finden Sie unter f5.com. Sie können auch (at)f5networksde auf Twitter folgen oder uns auf LinkedIn und Facebook besuchen, um weitere Informationen über F5, seine Partner und Technologien zu erhalten.
Fink & Fuchs AG
Michaela Ferber und Kirsten Gnadl
Paul-Heyse-Straße 29
80336 München
Tel.: +49 89-589787-14
Fax: +49 89-589787-50
E-Mail: f5(at)finkfuchs.de
https://www.finkfuchs.de
F5 Networks
Claudia Kraus
Lehrer-Wirth-Straße 2
81829 München
Tel.: +49 89-94383-0
Fax: +49 89-94383-111
E-Mail: c.kraus(at)f5.com
http://f5.com/
Datum: 10.04.2019 - 12:21 Uhr
Sprache: Deutsch
News-ID 1713312
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Maurizio Tacconelli
Stadt:
München
Telefon: 08958978711
Kategorie:
Internet
Anmerkungen:
Dieser Fachartikel wurde bisher 171 mal aufgerufen.
Der Fachartikel mit dem Titel:
"F5 Labs: 80 Prozent aller Websites leicht angreifbar
"
steht unter der journalistisch-redaktionellen Verantwortung von
Fink&Fuchs AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).