De populaire scriptingtaal PHP zit blijkbaar vol met kwetsbaarheden. De eerste worm die een lek op PHP-sites misbruikt, is inmiddels een feit. Het is een voorbode voor meer, want het aantal te kraken PHP-applicaties op internet is dramatisch hoog.
Tienduizenden websites zijn vlak voor de Kerst gekraakt door de worm Santy, die kwetsbaarheden in de populaire scripttaal voor internetapplicaties PHP (PHP: Hypertext Preprocessor) misbruikte. “Dat Santy via Google moeiteloos oude versies van het forumprogramma PHPBB wist op te sporen, en vervolgens te beschadigen, is waarschijnlijk het mooiste voorbeeld dat veel in PHP geschreven applicaties buitengewoon makkelijk te kraken zijn,” zegt Leo Grapendaal, bestuurslid van de Perl-mongers, een Nederlandse gebruikersgroep van de scripttaal Perl. Versie 2.0.11 bevat een lapmiddel voor het lek dat door Santy is misbruikt.
Naast een primeur voor PHP is Santy ook het eerste computervirus dat een zoekmachine op internet gebruikt om zichzelf te verspreiden. Hackers gebruiken deze methode al langer om kwetsbare systemen voor een aanval op te sporen. Santy zocht naar het voorkomen van het bestand viewtopic.php, de bestandsnaam die duidt op het voorkomen van de PHP-applicatie PHPBB. De zoekmachine komt met miljoenen resultaten voor deze zoekopdracht. Als Santy een vatbare site opgespoord had, overschreef het alle bestanden die eindigden op .asp, .htm, .jsp, .php, .phtm, en .shtm met een standaardpagina. Google vangt de zoekopdrachten van het virus inmiddels af.
De situatie is volgens Grapendaal vrij ernstig, omdat er veel PHP-installaties op internet te vinden zijn die deze oude kwetsbaarheden kennen. Hij schat dat er in PHPBB in de loop der tijd tegen de zestig kwetsbaarheden ontdekt en verholpen zijn die in meer of mindere mate op internet voorkomen. “Ook in PHP wordt er slordig geprogrammeerd. Veel PHP-applicaties bevatten dit soort ernstige lekken, omdat beheerders niet toekomen aan het patchen van hun applicaties.” Volgens Grapendaal is de database in oude versies van PHPBB te wissen, zijn vertrouwelijke gebruikerslijsten te kopiëren en kunnen hackers administratieaccounts kapen.
De impact van Santy is nog vrij beperkt, omdat het Google nodig had voor zijn verspreiding. Als eenmaal gekraakte machines ook nog zelf bijdragen aan verdere verspreiding van het virus is de situatie volgens Grapendaal veel erger. Ook een programma dat alle al bestaande kwetsbaarheden in oudere versies van sommige wijd verspreide PHP-applicaties geautomatiseerd exploiteert, acht hij waarschijnlijk.
Bron:
BlinfoMail maart 2005
