Un nuevo análisis llevado a cabo por F5 Labs, la división de inteligencia en ciberseguridad de F5 Networks, destaca la creciente vulnerabilidad de PHP, el lenguaje de programación utilizado en más del 80% de los sitios web.
Este informe indica que el 81% del tráfico malicioso monitorizado durante 2018 en todo el mundo estuvo relacionado con PHP, lo que representa un incremento del 23% con respecto a los datos de 2017. Además, PHP representó el 68% de todos los exploits publicados durante el año pasado en la Exploit Database (EDB).
El análisis de F5 Labs se centró en el seguimiento de las actividades de reconocimiento llevadas a cabo por parte de los hackers, que tratan de involucrar a las capas administrativas de desarrollo en las cadenas de ataques más amplias. La publicación de estas conclusiones forma parte de la primera entrega del informe Application Protection Report 2019 elaborado por F5 Labs.
“El volumen y la naturaleza implacable de los exploits de PHP son alarmantes, pero no sorprendentes”, afirma Sander Vinberg, Threat Research Evangelist en F5 Labs. “Basándonos en nuestra investigación, podemos predecir que PHP seguirá siendo uno de los eslabones más débiles de Internet y una de las áreas más amplias en los ataques futuros.”
Para llevar a cabo este informe, F5 Labs contó con la colaboración de la compañía de datos Loryka, cuyos sensores se encargan de identificar los intentos de conexión y de capturar información como la IP de origen y la URL de destino. Los datos aportados por Loryka ofrecen a los expertos de F5 Labs la información necesaria para poder conocer cuáles son las tácticas y los objetivos específicos a los que se dirige el hacker.
Por ejemplo, Loryka advirtió que una gran cantidad de tráfico se enfocaba en siete nombres de archivos que aparecen como parte de una URL y que se usan normalmente para administrar phpMyAdmin (PMA), que es una aplicación web PHP que gestiona bases de datos MySQL. Así, el 42% de los 1,5 millones de eventos únicos dirigidos a más de 100.000 URLs diferentes apuntaba a uno de los siguientes nombres:
[nombre de dominio +] /PMA2011/
[nombre de dominio +] /pma2011/
[nombre de dominio +] /PMA2012/
[nombre de dominio +] /phpmyadmin3/
[nombre de dominio +] /pma2012/
[nombre de dominio +] /phpmyadmin4/
[nombre de dominio +] /phpmyadmin2/
Se descubrió también que el volumen de tráfico dirigido a cada una de estas rutas era casi idéntico, con variaciones de apenas el 3%, así como la sincronización de las campañas, en las que se incrementaba el volumen tráfico de forma coordinada.
En una inspección más cercana, F5 Labs descubrió que el 87% del tráfico dirigido a estas siete direcciones de phpMyAdmin surgía de dos únicas direcciones IP de las 66.000 analizadas por Loryka. Esas dos direcciones fueron, además, el origen del 37% de todo el tráfico monitorizado durante 2018. El resto de IPs controladas nunca alcanzaron el mismo volumen de tráfico ni replicaron los mismos patrones, ni siquiera cuando se dirigieron a las mismas rutas. Curiosamente, las dos IPs sospechosas pertenecían al mismo campus universitario de Norteamérica, lo que significa que alguien está utilizando los sistemas y redes de esa universidad para identificar posibles objetivos, como bases antiguas y probablemente olvidadas de MySQL con una autenticación débil.
Según Vinberg, mitigar los riesgos de este tipo de campañas debería ser algo relativamente sencillo, siempre que los propietarios del sistema permanezcan atentos a los que está pasando en su red . “Un programa de control de acceso robusto con contraseñas seguras o autenticación multi-factor podría reducir el riesgo de relleno de credenciales de la campaña de phishing que podría ser el siguiente paso tras la actividad de reconocimiento”.