PHP-Lücke von 2012 nach wie vor ausgenutzt
Eine PHP-Lücke, die schon lange bekannt und in der aktuellen Version gestopft ist, wird nach wie vor aktiv für Angriffe benutzt. Laut Sicherheitsforschern sind immer noch viele Webseiten verwundbar.
- Fabian A. Scherschel
Fast zwei Jahre nachdem eine kritische Sicherheitslücke in PHP (CVE-2012-1823) zum ersten Mal publik wurde, wird diese noch immer aktiv ausgenutzt. Einem Bericht der Sicherheitsfirma Imperva zufolge, suchen automatische Skripte das Web immer noch nach der Schwachstelle ab, obwohl diese eigentlich Mitte 2012 mit den PHP-Versionen 5.3.12 und 5.4.2 geschlossen wurde. Für die Sicherheitsforscher deutet das darauf hin, dass viele PHP-Nutzer ihre Server nicht regelmäßig updaten und Angreifern so Tür und Tor öffnen.
Um die Angriffe auf die Lücke zu untersuchen, richteten die Forscher einen Honeypot ein. Dieser registrierte Angriffe von 324 Servern auf der ganzen Welt. Die Angreifer nutzten die PHP-Lücke, um 43 verschiedene Arten von Schadcode (darunter PHP-, Python- und C-Programme) auf dem Rechner zu platzieren. Die meisten Angreifer versuchten, Botnetz-Kontrollsoftware zu installieren und den Honeypot in ihre Gewalt zu bringen.
(Bild: Imperva)
Das zugrundeliegende Problem kommt allerdings nur zum Tragen, wenn PHP im CGI-Modus benutzt wird, was oft in Shared-Server-Umgebungen passiert. In vielen Fällen wird PHP aber auch mit mod_php betrieben. Die von den Forschern geschätzten 16 Prozent an verwundbaren öffentlichen Webseiten sind also mit Vorsicht zu betrachten, da die Untersuchung nur verwundbare von nicht verwundbaren PHP-Versionen unterscheidet, nicht aber, ob CGI verwendet wird.
Durch einen bestimmten URL-Parameter kann ein Angreifer verwundbare PHP-Versionen dazu bringen, Kommandozeilenparameter auszuführen. Damit lässt sich Code einschleusen und ausführen. Auf dem Imperva-Honeypot nutzten Angreifer dies oft, um mit Unix-Kommandozeilenbefehlen Schadcode aus dem Web in ein temporäres Verzeichnis zu laden, ausführbar zu machen und dann auszuführen. Im Anschluss löschten sie den Code wieder, um Spuren zu verwischen.
Aktuelle PHP-Versionen sind gegen den Angriff immun. Dass die Lücke immer noch im großen Stil ausgenutzt wird, zeigt, wie wichtig es ist, die eingesetzte PHP-Version aktuell zu halten. (fab)
