F5 Labs ha sottolineato la crescente vulnerabilità del linguaggio di programmazione PHP, il più utilizzato a livello globale per creare la gran parte dei siti Web. L’81% del traffico malevolo complessivo monitorato dagli F5 Labs nel 2018 è infatti correlato a PHP, con un aumento degli attacchi del 23% rispetto al 2017.
Sander Vinberg, Threat Research Evangelist degli F5 Labs
Il volume e la natura inarrestabile degli exploit PHP sono preoccupanti ma non sorprendenti. In base alle nostre ricerche, riteniamo che questo rimarrà uno dei punti di collegamento più deboli di Internet e che le superfici di attacco diventeranno ancora più ampie nel prossimo futuro.
Sono state prese in esame, in particolare, le campagne di ricognizione iniziali che hanno cercato di compromettere il livello di amministrazione, per poi avviare una catena di attacchi più ampia. In base alle analisi contenute nel primo capitolo del F5 Lab Application Protection Report 2019, il linguaggio PHP è stato coinvolto anche nel 68% di tutti gli attacchi pubblicati nel Exploit Database nel 2018.
Gli F5 Labs si sono soffermati anche sulle tattiche specifiche di attacco a PHP. I sensori di Loryka, partner di F5 Labs nell’analisi dei dati, hanno rilevato i tentativi di connessione e acquisizione di dati identificando l’IP di origine e l’URL di destinazione. Gli aggressori spesso vagliano miliardi di obiettivi per individuare un’opportunità, quindi di per sé il dominio di destinazione o l’indirizzo IP non sono significativi. Tuttavia, la seconda parte dell’URL identificato è interessante perché contiene file o patch che si volveva prendere di mira, cioè la posizione specifica su un server web che l’autore dell’attacco ha indirizzato fra tutti gli IP in target. Inoltre, rivela molto sugli obiettivi e le tattiche utilizzate.
Loryka ha notato, ad esempio, che un’enorme porzione di traffico si concentrava su solo sette percorsi o nomi di file, tutti e sette comunemente utilizzati per gestire phpMyAdmin (noto anche come PMA), un’applicazione web PHP utilizzata per gestire i database MySQL. Analizzando il tutto in modo ancora più approfondito, gli F5 Labs hanno scoperto che l’87% del traffico verso percorsi comuni di phpMyAdmin derivava da solo due IP su 66.000 IP che colpivano i sensori di Loryka. Questi due IP rappresentavano il 37% di tutto il traffico monitorato nel 2018. Tutto il traffico dagli IP compromessi indicava i sette percorsi PMA. Nessun altro IP singolo ha raggiunto questo volume di traffico o ne ha replicato i modelli, anche quando si indirizzavano gli stessi percorsi.
È interessante notare come i due IP provenissero da sistemi presenti in un campus universitario nordamericano.
Sander Vinberg, Threat Research Evangelist degli F5 Labs
Abbiamo scoperto come degli sconosciuti abbiano utilizzato un piccolo numero di sistemi compromessi sulle reti universitarie per sfruttare obiettivi specifici: database MySQL vecchi e probabilmente trascurati, con un’autenticazione debole. “Questi attori hanno definito una serie ristretta di parametri target, ma hanno poi effettuato una scansione dell’intero web a partire da un piccolo numero di indirizzi e non hanno deciso di coprire in nessun modo le proprie tracce. La SQL injection è stata la forma di attacco PHP più comune nel 2018 e ritengo che anche quest’anno si dimostrerà tale.
Vinberg ha aggiunto che mitigare il rischio rispetto a questo tipo di campagne dovrebbe essere relativamente semplice, a condizione che i proprietari dei sistemi siano a conoscenza di ciò che effettivamente è presente sulla propria rete.