www.zonamovilidad.es
Por Alfonso de Castañeda
x
alfondcctelycom4com/8/8/17
martes 23 de abril de 2019, 14:24h

Escucha la noticia

El 81% del tráfico malicioso monitorizado durante 2018 en todo el mundo estuvo relacionado con PHP, según cifras de F5 Labs.

Según un análisis llevado a cabo por F5 Labs, la división de inteligencia en ciberseguridad de F5 Networks, el lenguaje de programación de PHP, utilizado en más del 80% de los sitios webs, es cada vez más vulnerable e inseguro. Las cifras que aporta la firma al respecto evidencian un crecimiento del 23% con respecto a los datos de 2017 en cuanto al tráfico malicioso.

"Podemos predecir que PHP seguirá siendo uno de los eslabones más débiles de Internet y una de las áreas más amplias en los ataques futuros"

Asimismo, PHP representó el pasado año el 68% de todos los exploits publicados durante 2018 en la Exploit Database (EDB).

"El volumen y la naturaleza implacable de los exploits de PHP son alarmantes, pero no sorprendentes”, asegura Sander Vinberg, Threat Research Evangelist en F5 Labs. “Basándonos en nuestra investigación, podemos predecir que PHP seguirá siendo uno de los eslabones más débiles de Internet y una de las áreas más amplias en los ataques futuros”, advierte Vinberg.

Para llevar a cabo el informe, F5 Labs ha contado con la colaboración de Loryka, cuyos sensores se encargan de identificar los intentos de conexión y de capturas información la IP de origen y la URL de destino. En este sentido, el análisis se ha centrado en el seguimiento de las actividades de reconocimiento llevadas a cabo por parte de hackers, que tratan de involucrar a las capas administrativas de desarrollo en las cadenas de ataque más amplias.

Las “casualidades” de las vulnerabilidades PHP

Loryka advierte que una gran cantidad de tráfico se enfocaba en siete nombres de archivos que aparecen como parte de una URL y que se usan para administrar phpMyAdmin (PMA), una aplicación web PHP que gestiona bases de datos MySQL. En concreto, el 42% de los 1,5 millones de eventos únicos dirigidos a más de 100.000 URLs diferentes apuntaba a unos de estos nombres:

  • www.example.com/PMA2011/
  • www.example.com/pma2011/
  • www.example.com/PMA2012/
  • www.example.com/phpmyadmin3/
  • www.example.com/pma2012/
  • www.example.com/phpmyadmin4/
  • www.example.com/phpmyadmin2/

Del mismo modo, el volumen de tráfico dirigido a estas rutas es casi idéntico, con variaciones de apenas el 3%, así como la sincronización de las campañas, en las que se incrementaba el volumen de tráfico de manera coordinada.

Más a fondo, F5 Labs ha descubierto que el 87% del tráfico dirigido a estas siete direcciones surgían de dos únicas direcciones IP de las 66.000 analizadas por Loryka, que son además el origen del 27% de todo el tráfico monitorizado durante el 2018.

El 87% del tráfico dirigido a estas siete direcciones surgían de dos únicas direcciones IP, ubicadas en el mismo campus universitario de Norteamérica

En cuanto al resto de IPs controladas nunca alcanzaron el mismo volumen de tráfico ni replicaron los mismos patrones, ni siquiera cuando se dirigieron a las mismas rutas. Pero además, las dos IPs pertenecen sospechosamente al mismo campus universitario de Norteamérica, lo que implica que alguien está utilizando los sistemas y redes de esa universidad para identificar posibles objetivos, como bases antiguas y probablemente olvidadas de MySQL con una autenticación débil.

Según destaca Vinberg, mitigar los riesgos de este tipo de campañas debería ser algo relativamente sencillo, siempre que los propietarios del sistema permanezcan atentos a los que está pasando en su red. "Un programa de control de acceso robusto con contraseñas seguras o autenticación multi-factor podría reducir el riesgo de relleno de credenciales de la campaña de phishing que podría ser el siguiente paso tras la actividad de reconocimiento", explica.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios