Alte PHP-Sicherheitslücke wird noch immer für Angriffe genutzt
Eine Sicherheitslücke in PHP, die schon seit 2012 bekannt und in der aktuellen Version behoben ist, wird nach wie vor aktiv für Angriffe genutzt. Noch immer sind viele Webseiten nicht geschützt.
Angreifer nutzen noch immer eine
kritische Sicherheitslücke in PHP (
CVE-2012-1823), die bereits seit zwei Jahren bekannt ist. Laut Imperva, einem Anbieter von Sicherheitssoftware, durchsuchen Script-Bots Webseiten nach diesem Angriffspunkt, obwohl diese Lücke bereits Mitte 2012 mit den PHP-Versionen 5.3.12 und 5.4.2 geschlossen wurde. Die Experten für Sicherheitsfragen vermuten, dass viele Nutzer die Software nicht regelmäßig aktualisieren und somit Angreifern gute Einstiegsmöglichkeiten bieten.
Für die Untersuchung hat Imperva einen sogenannten „Honigtopf“ eingerichtet. Dabei handelt es sich um einen Server, der diese Sicherheitslücke bietet und Angreifer "anlocken" soll. Während der Untersuchung konnten hier Angriffe von 324 Servern registriert werden. Die Angreifer nutzten die PHP-Lücke, um 43 verschiedene Typen von Schadcode, darunter PHP-, Python- und C-Programme auf dem Rechner zu installieren. Meist handelt es sich um Botnetz-Kontrollsoftware sowie um Versuche, den Server unter eigene Kontrolle zu bekommen.
Durch einen bestimmten URL-Parameter kann ein Angreifer veraltete PHP-Versionen dazu bringen, Befehle der Kommandozeile anzuwenden. Auf dem Imperva-Honigtopf nutzten Angreifer dies, um mit Unix-Befehlen schädigenden Code aus dem Web auf den Server zu laden und dort auszuführen.
Laut Imperva nutzen rund 16% der Webseiten derzeit noch veraltete PHP-Versionen. Die Sicherheitslücke kann jedoch nur dann genutzt werden, wenn der Server PHP im CGI-Modus verwendet. Shared-Server-Umgebungen sind häufig so konfiguriert.
Aktuelle PHP-Versionen sind gegen den Angriff immun.