Eine PHP-Schwachstelle, die zum ersten Mal bereits vor zwei Jahren veröffentlicht wurde, läuft im Internet immer noch ungepatcht vor sich hin. Mehr als 80 % aller Webseiten sind mit PHP-Code geschrieben. Davon sind 16 % anfällig für den Fehler, der es Angreifern erlaubt, willkürliche Kommandos auszuführen. Alle PHP-Versionen vor 5.3.12 und 5.4.2 sind schutzlos. Dies führte laut der Sicherheitsfirma Imperva dazu, dass die Anzahl der Cyberangriffe auf PHP-Seiten mithilfe der bekannten Schwachstelle raketenartig in die Höhe geschnellt ist. Im Oktober 2013 wurde die Sicherheitsanfälligkeit veröffentlicht. Die Schwachstelle selbst wurde bereits im Mai 2012 gefunden.

Experten nutzten sogenannte Honeypots, speziell eingerichtete, anfällige Server, um die Angriffe aufzuspüren. In den ersten drei Wochen wurden damit 30.000 Angriffe und 324 unterschiedliche IP-Adressen aufgezeichnet. Die Angriffe verwendeten hochgradig verwirrenden Code, um den Angriff zu verstecken. Als dieser Code in für Menschen lesbare Formate umformatiert wurde, wurde klar, dass die Skripts bösartige exe-Dateien eines Remote-Servers herunterladen, diese ausführen und dann alles wieder entfernen, um Hinweise zu vertuschen.

Interessanterweise verwenden die Kriminellen diese Schwachstelle, obwohl sie schon älteren Datums ist. Der größte Teil der Basis-Installation von PHP wird nicht regelmäßig aktualisiert.

Die Angriffe sind so raffiniert und komplex, dass angenommen werden kann, dass nur gut organisierte Gruppen sie in einer industriellen Art und Weise durchführen könnten. Man spricht hier vom sogenannten „bot herding“. Angreifer scannen nach Servern mit dieser Schwachstelle, infizieren sie mit ihren Bot Clients, verwandeln sie in Zombies, die via Command-and-Control Server bedient werden, und verkaufen diese Botnets dann an den Meistbietenden.

Es gibt schon lange Debatten in der IT-Sicherheitsbranche darüber, ob es gut sei, neu aufgedeckte Schwachstellen zu veröffentlichen. Viele argumentieren, dass die Veröffentlichungen die Kriminellen erst recht auf die Spur bringen.

Artikel von v3.co.uk, 19.03.2014: Hackers besiege PHP sites with 30,000 attacks hitting patched exploit
Artikel von arstechnica.com, 19.03.2014: PHP bug allowing site hijacking still menaces Internet 22 months on