Il linguaggio di programmazione usato per creare oltre l’80% dei siti web si conferma l’anello debole di internet, sfruttato nell’81% dei casi di traffico malevolo nel 2018

Aumenta la vulnerabilità del linguaggio PHP

Il linguaggio PHP, utilizzato per creare oltre l’80% dei siti Web, soffre di una crescente vulnerabilità. Lo evidenziano le nuove informazioni di threat intelligence degli F5 Labs.

L’81% del traffico malevolo complessivo monitorato dagli F5 Labs nel 2018 è infatti correlato a PHP, con un aumento degli attacchi verso questo linguaggio del 23% rispetto al 2017. Sono state prese in esame, in particolare, le campagne di ricognizione iniziali che hanno cercato di compromettere il livello di amministrazione, per poi avviare una catena di attacchi più ampia.

In base alle analisi contenute nel primo capitolo del F5 Lab Application Protection Report 2019, il linguaggio PHP è stato coinvolto anche nel 68% di tutti gli attacchi pubblicati nel Exploit Database nel 2018.

“Il volume e la natura inarrestabile degli exploit PHP sono preoccupanti ma non sorprendenti”, ha commentato Sander Vinberg, Threat Research Evangelist degli F5 Labs. “In base alle nostre ricerche, riteniamo che questo rimarrà uno dei punti di collegamento più deboli di Internet e che le superfici di attacco diventeranno ancora più ampie nel prossimo futuro.”

Nell’analisi, gli F5 Labs si sono soffermati anche sulle tattiche specifiche di attacco a PHP.

I sensori di Loryka, partner di F5 Labs nell’analisi dei dati, hanno rilevato i tentativi di connessione e acquisizione di dati identificando l’IP di origine e l’URL di destinazione.

Gli aggressori spesso vagliano miliardi di obiettivi per individuare un’opportunità, quindi di per sé il dominio di destinazione o l’indirizzo IP non sono significativi. Tuttavia, la seconda parte dell’URL identificato è interessante perché contiene file o patch che si volveva prendere di mira, cioè la posizione specifica su un server web che l’autore dell’attacco ha indirizzato fra tutti gli IP in target. Inoltre, rivela molto sugli obiettivi e le tattiche utilizzate.

Loryka ha notato, ad esempio, che un’enorme porzione di traffico si concentrava su solo sette percorsi o nomi di file, tutti e sette comunemente utilizzati per gestire phpMyAdmin (noto anche come PMA), un’applicazione web PHP utilizzata per gestire i database MySQL.

Il 42% degli 1,5 milioni eventi unici registrati che hanno coinvolto oltre 100.000 URL diverse era indirizzato a uno dei seguenti obiettivi:

  • www.example.com/PMA2011/
  • www.example.com/pma2011/
  • www.example.com/PMA2012/
  • www.example.com/phpmyadmin3/
  • www.example.com/pma2012/
  • www.example.com/phpmyadmin4/
  • www.example.com/phpmyadmin2/

Il volume di traffico verso questi obiettivi era praticamente identico, con una differenza inferiore al 3% tra quello più e meno elevato. Anche rispetto alle tempistiche delle campagne che hanno sfruttato questi percorsi, i tempi sono praticamente identici con un aumento del traffico coordinato.

Analizzando il tutto in modo ancora più approfondito, gli F5 Labs hanno scoperto che l’87% del traffico verso percorsi comuni di phpMyAdmin derivava da solo due IP su 66.000 IP che colpivano i sensori di Loryka. Questi due IP rappresentavano il 37% di tutto il traffico monitorato nel 2018. Tutto il traffico dagli IP compromessi indicava i sette percorsi PMA. Nessun altro IP singolo ha raggiunto questo volume di traffico o ne ha replicato i modelli, anche quando si indirizzavano gli stessi percorsi.

È interessante notare come i due IP provenissero da sistemi presenti in un campus universitario nordamericano.

“Abbiamo scoperto come degli sconosciuti abbiano utilizzato un piccolo numero di sistemi compromessi sulle reti universitarie per sfruttare obiettivi specifici: database MySQL vecchi e probabilmente trascurati, con un’autenticazione debole”, ha spiegato Vinberg. “Questi attori hanno definito una serie ristretta di parametri target, ma hanno poi effettuato una scansione dell’intero web a partire da un piccolo numero di indirizzi e non hanno deciso di coprire in nessun modo le proprie tracce. La SQL injection è stata la forma di attacco PHP più comune nel 2018 e ritengo che anche quest’anno si dimostrerà tale.”

Vinberg ha aggiunto che mitigare il rischio rispetto a questo tipo di campagne dovrebbe essere relativamente semplice, a condizione che i proprietari dei sistemi siano a conoscenza di ciò che effettivamente è presente sulla propria rete.

“Le whitelist di autenticazione delle pagine per il livello admin, ad esempio, rappresentano un modo semplice per impedire che una campagna di ricognizione di questa natura si intensifichi”, ha spiegato Vinberg. “Un programma di controllo degli accessi affidabili con password complesse o autenticazione multifattore è in grado anche di mitigare il rischio rispetto al credential stuffing o all’escalation di una campagna di phishing, che potrebbero essere conseguenze di queste attività di ricognizione.”