Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le langage PHP, utilisé pour créer plus de 80% des sites web, est toujours plus ciblé par les cyberattaques

avril 2019 par F5 Labs

Le Laboratoire de Threat Intelligence de F5, le F5 Labs, présente le résultat d’une nouvelle recherche. Celle-ci met en évidence la vulnérabilité croissante du langage de programmation libre, PHP, utilisé pour la création de plus de 80 % des sites web mondiaux.

Selon Loryka (plateforme de données de recherche, spécialiste de la détection précoce des attaques), partenaire du F5 Labs, 81 % du trafic malveillant surveillé en 2018 était lié au langage PHP. Soit une hausse de 23 % par rapport à 2017. La surveillance effectuée par F5 s’est concentrée sur les campagnes initiales de reconnaissance des interfaces d’administration à compromettre dans le cadre d’une chaîne d’attaques de plus grande envergure.

Présentée dans la première partie du rapport Application Protection Report 2019 de F5 Labs, l’étude indique également que le langage PHP compte pour 68 % des exploits publiés sur le site Exploit Database en 2018.

Sander Vinberg, évangéliste Threat Intelligence chez F5 Labs explique : « Le volume et la nature implacable des exploits PHP sont alarmants, mais n’ont toutefois rien de surprenant. D’après nos recherches, le langage PHP devrait demeurer l’un des maillons les plus faibles d’Internet et l’une des plus grandes surfaces d’attaque dans les années à venir ».

Dans son analyse, F5 Labs fait aussi la lumière sur les tactiques d’attaque propres au langage PHP.

Les capteurs de Loryka identifient les tentatives de connexion et recueillent des données telles que l’adresse IP source et l’URL cible. Comme les attaquants explorent souvent des milliards de cibles à la recherche d’opportunités d’attaque, le domaine et l’adresse IP cibles ne sont pas significatifs. En revanche, la première moitié de l’URL cible contient le nom de fichier ou le chemin cible, c’est-à-dire l’emplacement visé par l’attaquant sur un serveur Web dans toutes les adresses IP cibles. Cela en dit également long sur les objectifs et tactiques de l’attaquant. Loryka a par exemple constaté un grand volume de trafic visant uniquement sept chemins ou noms de fichiers. Tous les sept sont couramment utilisés pour la gestion de phpMyAdmin (ou PMA), une application Web PHP de gestion de bases de données MySQL.

Parmi les 1,5 million d’événements uniques ciblant plus de 100 000 URL différentes, 42 % visaient l’un des chemins suivants :
www.exemple.com/PMA2011/
www.exemple.com/pma2011/
www.exemple.com/PMA2012/
www.exemple.com/phpmyadmin3/
www.exemple.com/pma2012/ _• www.exemple.com/phpmyadmin4/
www.exemple.com/phpmyadmin2/

Le volume de trafic était presque identique d’un chemin à l’autre, avec moins de 3 % d’écart entre le volume le plus fréquent et le moins fréquent. Les campagnes ciblant ces chemins avaient pratiquement toutes lieu en même temps, avec des pics de trafic coordonnés.

F5 Labs a découvert, grâce à une analyse détaillée, que 87 % du trafic ciblant ces chemins phpMyAdmin communs provenait de seulement deux adresses IP sur les 66 000 détectées par les capteurs de Loryka. En 2018, ces deux adresses IP représentaient 37 % de l’ensemble du trafic surveillé. Tout le trafic émanant des adresses IP compromises pointait vers les sept chemins PMA. Aucune autre adresse IP n’a engendré un tel volume de trafic, ni reproduit ses schémas, pas même celles ciblant les mêmes chemins.

Autre détail intéressant, les deux adresses IP émanaient de systèmes situés sur un campus universitaire d’Amérique du Nord.

Sander Vinberg explique : « En fin de compte, des acteurs non identifiés se servaient d’un petit nombre de systèmes compromis au sein de réseaux universitaires pour rechercher des cibles spécifiques : des bases de données MySQL anciennes, et probablement négligées, bénéficiant d’un faible niveau d’authentification. Ces acteurs ont défini un nombre restreint de paramètres cibles, mais explorent l’ensemble du Web à partir de quelques adresses seulement. Ils ne font pas beaucoup d’efforts pour effacer leurs traces. Sachant que l’injection SQL était le type d’attaque PHP le plus courant, tout porte à croire que le paysage des menaces restera le même cette année ». Sander Vinberg ajoute qu’il devrait être relativement facile d’atténuer les risques associés à de telles campagnes, à condition que les propriétaires de systèmes soient attentifs à ce qui se passe sur leur réseau.

« La création de listes blanches de pages d’authentification pour les interfaces d’administration est un moyen simple d’éviter que des campagnes de reconnaissance de cette nature ne dégénèrent. La mise en place d’un programme robuste de contrôle des accès reposant sur des mots de passe forts ou une authentification à plusieurs facteurs devrait également permettre d’atténuer les risques de credential stuffing ou d’élévation des privilèges dans le cadre de campagnes de phishing faisant suite à des activités de reconnaissance », précise-t-il.

L’analyse PHP de F5 Labs figure dans le premier chapitre du rapport Application Protection Report 2019.




Voir les articles précédents

    

Voir les articles suivants