![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Cyberangriffe werden zunehmend automatisiert. Die Telemetriedaten von Qualys TRU zeigen, wie sich diese Angriffe entwickeln und welche Ma\u00dfnahmen Verteidiger als N\u00e4chstes ergreifen k\u00f6nnen. Mir liegt eine Qualys-Analyse vor, was Sicherheitsteams angesichts der Zunahme von PHP- und IoT-Exploits wissen m\u00fcssen. Ich stelle den Text mal im Blog zur Information ein.<\/p>\n
<\/p>\n
Hintergrund ist, dass die Qualys Threat Research Unit (TRU) einen starken Anstieg von Angriffen auf PHP-Server, IoT-Ger\u00e4te und Cloud-Gateways festgestellt hat. Diese Angriffe gehen in erster Linie von Botnetzen wie Mirai, Gafgyt und Mozi aus. Diese automatisierten Kampagnen nutzen bekannte CVE-Schwachstellen und Fehlkonfigurationen in der Cloud aus, um die Kontrolle \u00fcber exponierte Systeme zu erlangen und Botnet-Netzwerke zu erweitern.<\/p>\n
Da PHP mehr als 73 Prozent der Websites unterst\u00fctzt und 82 Prozent der Unternehmen Vorf\u00e4lle im Zusammenhang mit Fehlkonfigurationen in der Cloud melden, war die Angriffsfl\u00e4che noch nie so gro\u00df wie heute. In diesem Beitrag werden die neuesten Exploit-Trends untersucht, aktive Angriffsziele aufgezeigt und umsetzbare Ma\u00dfnahmen skizziert, mit denen Sicherheitsteams ihre Abwehrma\u00dfnahmen verst\u00e4rken und die Gef\u00e4hrdung minimieren k\u00f6nnen.<\/p>\n
PHP ist nach wie vor eine grundlegende Komponente f\u00fcr Websites sowie f\u00fcr Webanwendungen, insbesondere in popul\u00e4ren Content-Management-Systemen (CMS) wie WordPress. Diese Allgegenw\u00e4rtigkeit schafft jedoch auch eine gro\u00dfe und attraktive Angriffsfl\u00e4che. Viele PHP-Implementierungen leiden unter:<\/p>\n
Diese L\u00fccken erm\u00f6glichen es Angreifern, Remote-Code-Execution-Angriffe (RCE) zu starten, Daten zu exfiltrieren oder den Server als Startrampe f\u00fcr Malware zu nutzen. Wenn diese Probleme nicht behoben werden, kann selbst eine einzige falsch konfigurierte oder veraltete PHP-Instanz zum Einstiegspunkt f\u00fcr eine gro\u00df angelegte Kompromittierung werden. So wurden beispielsweise Anfang dieses Jahres Hunderte von Websites aufgrund einer Zero-Day-Sicherheitsl\u00fccke im PHP-basierten Craft CMS kompromittiert<\/a>.<\/p>\n Angreifer sind stets auf der Suche nach Schwachstellen in beliebten PHP-Frameworks und -Entwicklungstools. Im Folgenden finden sich einige Beispiele daf\u00fcr, wie kritische Schwachstellen und unsichere Konfigurationen weiterhin Einfallstore f\u00fcr RCE und Datenkompromittierung bieten.<\/p>\n CVE-2022-47945<\/a> ist eine kritische RCE-Sicherheitsl\u00fccke in ThinkPHP-Versionen vor 6.0.14, die Anwendungen mit aktivierter Mehrsprachenunterst\u00fctzung (lang_switch_on = true) betrifft. Der Fehler liegt in der unsachgem\u00e4\u00dfen Eingabereinigung des Parameters \u201elang\", den Angreifer ausnutzen, um eine lokale Dateieinbindung (LFI) sensibler interner Skripte durchzuf\u00fchren, wie z. B.:<\/p>\n Qualys-Forscher haben Exploit-Versuche beobachtet, bei denen Angreifer die Abfragezeichenfolge ?XDEBUG_SESSION_START=phpstorm<\/em>\u00a0nutzen, um eine Remote-Debugging-Sitzung mit dem XDebug-Plugin in Kombination mit einer integrierten Entwicklungsumgebung (IDE) -in der Regel PHPStorm – zu initiieren.<\/p>\n Bleibt XDebug unbeabsichtigt in Produktionsumgebungen aktiv, k\u00f6nnen Angreifer diese Sitzungen nutzen, um Einblicke in das Anwendungsverhalten zu gewinnen oder sensible Daten zu extrahieren.<\/p>\n CVE-2021-3129 ist eine RCE-Sicherheitsl\u00fccke, die Laravel-Anwendungen betrifft, wenn das Ignition-Debugging-Paket in Produktionsumgebungen verf\u00fcgbar ist. Laravel Ignition macht die Route \/_ignition\/execute-solution<\/em>\u00a0im Debug-Modus verf\u00fcgbar. Diese wird von Entwicklern genutzt, um Hilfsbefehle zur Fehlerbehebung auszuf\u00fchren. Bleibt diese Funktion in der Produktion aktiviert, k\u00f6nnen Angreifer sie ausnutzen, um beliebigen Code auszuf\u00fchren.<\/p>\n Im Folgenden findet sich ein Ausschnitt aus einem Netzwerkpaket, in dem Angreifer versuchen, CVE-2021-3129 auszunutzen. Der b\u00f6sartige Befehl ist im nachfolgenden HTTP-Anforderungspaket Base64-codiert.<\/p>\n Diese seit langem bestehende Schwachstelle befindet sich in PHPUnit, einem weit verbreiteten Testframework in PHP-Anwendungen. Der Fehler resultiert aus dem Vorhandensein des anf\u00e4lligen Skripts \u201eeval-stdin.php\" in \u00e4lteren PHPUnit-Versionen. Dadurch k\u00f6nnen nicht authentifizierte Angreifer beliebigen PHP-Code aus der Ferne ausf\u00fchren.<\/p>\n Diese Schwachstelle wird h\u00e4ufig in falsch konfigurierten Produktionsumgebungen ausgenutzt, in denen Entwicklungstools unbeabsichtigt dem Internet ausgesetzt sind.\u00a0HTTP-Anfrage-URLs, die h\u00e4ufig beim Scannen auftreten, sind unter anderem:<\/p>\n Unsicher gespeicherte Geheimnisse, wie beispielsweise Anmeldedaten, API-Schl\u00fcssel oder Zugriffstoken, die im Internet offengelegt werden, z\u00e4hlen zu den h\u00e4ufigsten und gef\u00e4hrlichsten Fehlkonfigurationen auf Servern. Unabh\u00e4ngig davon, ob sie beim \u00dcbergang von der Entwicklung zur Produktion zur\u00fcckgelassen oder versehentlich in einer Bereitstellung beibehalten wurden: Geheimnisse in Klartextdateien k\u00f6nnen zu einer vollst\u00e4ndigen Kompromittierung der Cloud-Infrastruktur f\u00fchren. W\u00e4hrend der ersten Erkundung und nach der Ausnutzung suchen Angreifer aktiv nach diesen Klartextdateien.<\/p>\n Qualys TRU hat fortlaufende Versuche von Angreifern identifiziert, auf sensible Amazon-Web-Services-(AWS)-Anmeldedaten auf offengelegten oder falsch konfigurierten Linux-Servern zuzugreifen. H\u00e4ufig angegriffene Dateipfade sind unter anderem:<\/p>\n Angreifer nutzen nach wie vor unsichere oder veraltete IoT-Ger\u00e4te aus. Oft verwenden diese Systeme veraltete Firmware, unsichere Protokolle und fest codierte Anmeldedaten, wodurch sie zu einem perfekten Ziel f\u00fcr Angriffe werden.<\/p>\n CVE-2024-3721 ist eine kritische Befehlsinjektionsschwachstelle, die auf eine unsichere Firmware-Logik zur\u00fcckzuf\u00fchren ist. Sie betrifft die Modelle TBK DVR-4104 und DVR-4216 und wird aktiv von Mirai-\u00e4hnlichen Botnets ausgenutzt. Das Problem beruht auf nicht bereinigten [mdb\/mdc]-Parametern in HTTP-Anfragen, die eine nicht authentifizierte Befehlsinjektion erm\u00f6glichen. Abbildung 4 zeigt einen Ausnutzungsversuch eines Angreifers.<\/p>\n Eine erfolgreiche Ausnutzung f\u00fchrt zum Herunterladen und Ausf\u00fchren der b\u00f6sartigen Skriptdatei selftbk.sh. Dieses Shell-Skript fungiert als Dropper, der eine auf die CPU-Architektur des Ziels (z. B. ARM7) zugeschnittene Variante der Mirai-Botnet-Malware herunterl\u00e4dt und ausf\u00fchrt. Nach der Ausf\u00fchrung wird der infizierte DVR Teil eines Botnetzes, das DDoS-Angriffe starten, nach anderen anf\u00e4lligen Ger\u00e4ten suchen und sich in der IoT-Infrastruktur halten kann.<\/p>\n Ein weiteres wiederkehrendes Ziel ist der MVPower TV-7104HE DVR. Er enth\u00e4lt eine integrierte Hintert\u00fcr, \u00fcber die nicht authentifizierte Benutzer beliebige Systembefehle per HTTP-GET-Anfrage ausf\u00fchren k\u00f6nnen. Obwohl es sich hierbei eher um eine Fehlkonfiguration als um eine Schwachstelle handelt, haben die Sicherheitsforscher beobachtet, dass diese aktiv von Mirai-Varianten ausgenutzt wird.<\/p>\n Im Folgenden findet sich ein Ausschnitt aus einem Paketerfassungsprotokoll, in dem das Mirai-Botnetz versucht, einen Befehl auf dem Remote-System auszuf\u00fchren, indem es diese Schwachstelle ausnutzt.<\/p>\n Auch Cloud-native Umgebungen werden \u00fcber exponierte APIs und falsch konfigurierte Dienste angegriffen, wobei Angreifer bekannte Schwachstellen schnell ausnutzen. Ein Beispiel hierf\u00fcr ist CVE-2022-22947, eine kritische RCE-Sicherheitsl\u00fccke im Spring Cloud Gateway. Sie erm\u00f6glicht es nicht authentifizierten Angreifern, \u00fcber eine b\u00f6swillig gestaltete Anfrage an den Endpunkt \/actuator\/refresh beliebigen Code auszuf\u00fchren.<\/p>\n Bei der Analyse der Quell-IPs, die an den j\u00fcngsten Scan-Aktivit\u00e4ten beteiligt waren, wurde festgestellt, dass ein erheblicher Anteil der Scans von Cloud-Infrastrukturanbietern ausging. Dazu geh\u00f6ren namhafte Dienste wie Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, DigitalOcean und Akamai Cloud.<\/p>\n Dies entspricht der Vorgehensweise von Bedrohungsakteuren, die Cloud-Ressourcen h\u00e4ufig missbrauchen, indem sie billige, tempor\u00e4re oder kompromittierte Computerinstanzen nutzen, um Aufkl\u00e4rungs- und Ausnutzungsversuche durchzuf\u00fchren und dabei ihre tats\u00e4chliche Herkunft zu verschleiern. Ein Gro\u00dfteil dieser Scan-Aktivit\u00e4ten scheint mit der aktiven Ausnutzung von Schwachstellen in Verbindung zu stehen, beispielsweise mit Versuchen, die auf PHP, ThinkPHP, DVR-Ger\u00e4te, Laravel, Spring Cloud Gateway-Server, SSH-Brute-Force-Angriffe, Fehlkonfigurationen und die Offenlegung von Geheimnissen abzielen.<\/p>\n Laut der Qualys TRU-Studie sind die Organisationen mit den h\u00f6chsten autonomen Systemnummern (ASN) nach Gesamtzahl der Scan-Quell-IPs:<\/p>\n Dies verdeutlicht, wie einfach Angreifer gro\u00df angelegte Scans durchf\u00fchren k\u00f6nnen: Sie verschleiern ihre Herkunft, indem sie kurzlebige virtuelle Maschinen (VMs) bei Anbietern wie AWS und GCP schnell hochfahren, diese dann wieder abschalten und den Zyklus wiederholen. Durch diese Taktik wird die Zuordnung erschwert, da der Datenverkehr scheinbar aus einer vertrauensw\u00fcrdigen Cloud-Infrastruktur stammt.<\/p>\n Um die oben genannten Risiken zu verringern, ist eine mehrschichtige Verteidigungsstrategie erforderlich, die die Transparenz verbessert, die Gef\u00e4hrdung begrenzt und die Behebung von Schwachstellen in den kritischsten Bereichen Ihrer Umgebung priorisiert.<\/p>\n Qualys listet einige bew\u00e4hrte Methoden auf, mit denen Sicherheitsteams diesen sich st\u00e4ndig weiterentwickelnden Bedrohungen einen Schritt voraus sein k\u00f6nnen:<\/p>\n Heutige Angreifer m\u00fcssen nicht besonders raffiniert sein, um erfolgreich zu sein. Mit weit verbreiteten Exploit-Kits, Botnet-Frameworks und Scan-Tools k\u00f6nnen selbst unerfahrene Angreifer erheblichen Schaden anrichten. Die Sicherheitsforscher bringen nat\u00fcrlich die eigene Qualys-Plattform ins Spiel, die Transparenz, Automatisierung und risikobasierte Priorisierung kombiniert. Mehr Informationen dazu gibt es hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Cyberangriffe werden zunehmend automatisiert. Die Telemetriedaten von Qualys TRU zeigen, wie sich diese Angriffe entwickeln und welche Ma\u00dfnahmen Verteidiger als N\u00e4chstes ergreifen k\u00f6nnen. Mir liegt eine Qualys-Analyse vor, was Sicherheitsteams angesichts der Zunahme von PHP- und IoT-Exploits wissen m\u00fcssen. Ich … Weiterlesen PHP-Exploit-Trends und bemerkenswerte CVEs<\/h2>\n
CVE-2022-47945: Remote-Code-Ausf\u00fchrung im ThinkPHP-Framework<\/h3>\n
\/vendor\/pear\/pearcmd.php\r\n\/usr\/local\/lib\/php\/pearcmd<\/pre>\n
![\"CVE-2022-47945](\"https:\/\/i.postimg.cc\/rmB4mQJZ\/image.png\")
Abbildung 1: CVE-2022-47945 Ausnutzungsbefehl im Netzwerkverkehr<\/p>\nRemote-Debugging mit XDEBUG in PHPStorm<\/h2>\n
![\"HTTP-Abfrage](\"https:\/\/i.postimg.cc\/TwDyZn6W\/image.png\")
\nAbbildung 2: HTTP-Anfrage, bei der der Angreifer versucht, eine Remote-Debugging-Sitzung zu initiieren<\/p>\nCVE-2021-3129: RCE-Sicherheitsl\u00fccke in Laravel<\/h2>\n
![\"HTTP-Anforderung\"](\"https:\/\/i.postimg.cc\/g0wrZ3rq\/image.png\")
Abbildung 3: HTTP-Anforderung, bei der der Angreifer versucht, CVE-2021-3129 auszunutzen<\/p>\nCVE-2017-9841: PHPUnit RCE<\/h2>\n
\/api\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/app\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/apps\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/backup\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/blog\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/cms\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/crm\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/demo\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/laravel\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/lib\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/lib\/phpunit\/phpunit\/Util\/PHP\/eval-stdin.php\r\n\/lib\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/panel\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/public\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/test\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/testing\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/tests\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/V2\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/vendor\/phpunit\/phpunit\/LICENSE\/eval-stdin.php\r\n\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/vendor\/phpunit\/phpunit\/Util\/PHP\/eval-stdin.php\r\n\/vendor\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/workspace\/drupal\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/ws\/ec\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/ws\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/www\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/yii\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php\r\n\/zend\/vendor\/phpunit\/phpunit\/src\/Util\/PHP\/eval-stdin.php<\/pre>\n
Die Gefahren offengelegter Geheimnisse und Anmeldedaten<\/h2>\n
\/.aws\/credentials\r\n\/aws\/credentials\r\n\/home\/ec2-user\/.aws\/credentials\r\n\/credentials\r\n\/.aws\/ecs-task-credentials\r\n\/.aws\/ecs-task-credentials.json\r\n\/.aws\/metadata\/iam\/security-credentials\/\r\n\/.aws_creds.json\r\n\/.db_credentials\r\n\/.smtp-credentials\r\n\/.well-known\/credentials.json\r\n\/admin\/config?cmd=cat+\/root\/.aws\/credentials\r\n\/api\/aws\/credentials\r\n\/api\/v1\/aws\/credentials\r\n\/api\/v1\/credentials\r\n\/aws\/credentials.json\r\n\/aws\/ecs\/task-credentials\r\n\/aws\/ecs\/task-credentials.json\r\n\/aws\/iam\/credentials.json\r\n\/aws\/iam\/ecs-task-credentials.json\r\n\/aws\/iam\/temp-creds.json\r\n\/aws\/iam\/temporary-credentials\r\n\/aws\/metadata\/iam\/security-credentials\r\n\/aws\/metadata\/iam\/security-credentials\/\r\n\/aws\/s3\/credentials.bak\r\n\/aws\/s3\/credentials.json\r\n\/aws\/s3\/credentials.yml\r\n\/aws_credentials.txt\r\n\/aws_creds.js\r\n\/data\/aws\/credentials\r\n\/ecs\/task-credentials\r\n\/ecs\/task-credentials.json\r\n\/email\/credentials.json\r\n\/hidden\/.aws\/credentials\r\n\/internal-api\/aws\/credentials\r\n\/internal-api\/iam\/credentials\r\n\/internal\/aws\/credentials\r\n\/k8s\/eks\/credentials\r\n\/latest\/meta-data\/iam\/security-credentials\/\r\n\/pms?module=logging&file_name=..\/..\/..\/..\/..\/..\/~\/.aws\/credentials&number_of_lines=10000\r\n\/private\/aws_credentials.json\r\n\/public\/.aws\/credentials\r\n\/s3-credentials.bak\r\n\/s3-credentials.json\r\n\/s3\/.aws\/credentials\r\n\/s3\/public\/credentials\r\n\/tmp\/.aws\/credentials\r\n\/vendor\/.aws\/credentials\r\n\/vendor\/aws\/credentials<\/pre>\n
IoT-Ger\u00e4te bleiben eine Schwachstelle in der Sicherheit<\/h2>\n
CVE-2024-3721: Befehlsinjektion in TBK-DVR-Ger\u00e4ten<\/h3>\n
![\"Ausnutzung](\"https:\/\/i.postimg.cc\/3JRhNYk2\/image.png\")
\nAbbildung 4: CVE-2024-3721 Ausnutzungsbefehl im Netzwerkverkehr<\/p>\nMVPower DVR: Unauthenticated Command Execution<\/h2>\n
![\"MVPower](\"https:\/\/i.postimg.cc\/28VpmGtH\/image.png\")
\nAbbildung 5: MVPower DVR Shell – Ausf\u00fchrung nicht authentifizierter Befehle durch das MIRAI-Botnetz<\/p>\nCloud-Schwachstellen: CVE-2022-22947<\/h2>\n
![\"Cloud-Schwachstelle](\"https:\/\/i.postimg.cc\/hjjsxyVF\/image.png\")
\nAbbildung 6: B\u00f6swillige HTTP-Anfrage w\u00e4hrend der Ausnutzung von CVE-2022-22947<\/p>\nBedrohungsakteure nutzen Cloud-Ressourcen f\u00fcr Aufkl\u00e4rungszwecke<\/h2>\n
![\"Angriffspunkte\"](\"https:\/\/i.postimg.cc\/YSXVJm3r\/image.png\")
<\/p>\n5 bew\u00e4hrte Methoden zur Verringerung des Ausnutzungsrisikos<\/h2>\n
\n