Ein Weihnachtsgeschenk der besonderen Art bekamen in diesem Jahr die open Source-Gemeinde im Allgemeinen und PHP-Anwender im Besonderen: „Santy“, einen einfachen, aber wirkungsvollen Vertreter der Gattung „Wurm“, der es in den letzten Tagen zigtausendfach schaffte, Server zu kompromittieren, sich weiterzuverbreiten und Daten zu löschen. Das Bemerkenswerte daran: Er schaffte dies völlig ohne Hilfe von Outlook, Internet Explorer & Co.„Mit Linux wäre das nicht passiert“ Schallt es gebetsmühlenhaft in sämtlichen Internetforen, die sich im weiteren Sinne mit Internet- und Datensicherheit befassen, wenn sich wiedermal ein Wurm durch das weltweite Datennetz verbreitet und die Funktionsweise der Verbreitungsroutine des Schädlings vor allem von drei Bedingungen abhängt: Einem Microsoft-Betriebssystem, Outlook als Standard Mail-Client und ein existierendes „Problem between keyboard and chair“ – dem Vorhandensein eines unbedarften Users also, der treuherzig auf alles klickt, was da den Weg in seine Mailbox findet.
Nicht so dieses Mal. „Santy“ griff seit kurz vor Weihnachten seine Opfer ausgerechnet über einen Exploit im beliebten „phpBB“, einer freien Forensoftware, an. Nicht nur war der Ansatzpunkt – Code Injection – ein Exploit in einer Open Source-Software. Fast ausschließlich waren LAMP-Systeme betroffen, also die für Web-Auftritte typische Kombination aus Linux-Betriebssystem, Apache Webserver, Mysql-DBMS und PHP-Skriptsprache. Kein Windows weit und breit. Was war passiert?
Passiert war wohl zweierlei. Zum einen war einfach „Erfolg“ passiert: Seit Langem ist im Webserver-Bereich „LAMP“ nicht mehr zu stoppen. Von „Monokultur“ zu sprechen, wie sie bei Privat-PCs oft angeprangert wird, wäre vielleicht zuviel gesagt. Trotzdem: Die Kombination Linux-Apache-PHP ist mittlerweile vor allem unter Hostern so verbreitet, dass sie ein sehr lohnendes Ziel darstellt. So kann ein kleiner Exploit in einer kleinen Software zu großen Wirkungen führen. Zum anderen „passiert“ leider eine Menge Arroganz und Ignoranz in Teilen der Open-Source Gemeinde: Sätze wie „Mit Linux wäre das nicht passiert“ – die auf ein Weltbild hindeuten, in dem jede Open-Source-Software der Stein der Weisen, jede Closed-Source-Software dagegen böse, weil gewinnorientiert ist – sind leichtfertig und spiegeln unbedarften Webmastern eine Sicherheit vor, die es nicht gibt, weil es sie eben nicht geben kann. Der Einsatz von Linux macht aus einem DAU offensichtlich noch keinen umsichtigen Admin – Das ist die Lehre, die man aus „Santy“ lernen kann und sollte.
Oder war der Ausbruch des Wochendendes ein Einzelfall, der nur die Ausnahme darstellt, welche die Regel bestätigt? Sieht man sich die neueren Entwicklungen in der „Santy-Affäre“ genauer an, können einem leise Zweifel daran kommen. Denn nachdem die ursprüngliche Version des Wurms mit Hilfe von google.com und yahoo.com, die anfingen, die Wurmabfragen zu filten, sowie der Tatsache, das es kaum mehr veraltete und damit verwundbare phpBB-Versionen gab, mehr oder weniger gestoppt werden konnte, fing eine Abwandlung des Wurms an, sich zu verbreiten. Diese setzte nicht mehr auf einem bestimmten Exploit auf, sondern auf der einfachen Annahme, das es eine Menge unsicherer PHP-Skripte geben müsste, die Shell-Befehle per „GET“ in der URL übergeben. Der neue Wurm suchte sich also schlicht über Anfragen bei größeren Suchmaschinen wahllos Skripte, die irgendeinen Parameter in der URL übergeben und ersetzte den übergebenen Wert beim Aufruf durch einen Shell-Befehl.
Derart verwundbare Skripte dürfte es in einer Produktionsumgebung gar nicht geben, sollte man meinen. Weit gefehlt: schon Stunden nach dem Ausbruch der neueren Version waren tausende von unsicheren PHP-Skripten zum Ausführen des schädlichen Codes missbraucht worden, IRC-Channels liefen über, der Wurm verrichtete sein schädliches Werk. Wenn schon ein so simples Konzept funktioniert, lässt das für die nächste Zukunft nichts gutes hoffen. Leider.
Links:
Santy-Wurm attackiert auch andere PHP-Skripte
Wurm attackiert PHP-Skripte
Schreibe einen Kommentar