Imperva s’inquiète de la vulnérabilité des applications PHP

Dans une étude, Imperva fait le point sur les risques de sécurité associés aux superglobales susceptibles d’être utilisées dans le développement d’applications PHP.

Dans la dernière édition de son étude mensuelle sur le pratiques des pirates, Imperva s’intéresse à «l’implication des applications tierces dans la posture de sécurité d’une organisation.» Et, en particulier, sur l’une des briques d’infrastructure Web les plus répandues : PHP qui, compte tenu de sa popularité, «mérite une attention toute particulière.» Pour Imperva, «les exploits visant les applications PHP peuvent affecté la sécurité et la santé globale de tout le Web car les sites compromis peuvent être utilisés comme des esclaves de botnet, pour attaquer d’autres serveurs.» Et là, Imperva relève que les attaques «impliquant les superglobales de PHP [des variables internes disponibles dans tout contexte, NDLR] gagnent en popularité au sein de la communauté des pirates.» Pour l’éditeur, ces attaques peuvent «casser la logique applicative, compromettre des serveurs Web, et résulter en des transactions frauduleuses et des vols de données.»

Sur un mois d’étude, les équipes d’Imperva ont ainsi observé rien moins que 144 attaques par application - sur un échantillon de 24 applications - «contenant des vecteurs d’attaque liés aux superglobales.» L’une des attaques provenait... d’un «serveur compromis appartenant à une banque italienne.» De nombreuses vulnérabilités liées à la modification externe de variables ou l’injection d’objet et de code malveillant en utilisant le mécanisme de gestion des sessions de PHP sont répertoriées et Imperva en fournit le détail pour étayer son propos. Et les pirates ne manquent pas de chercher à profiter. Sur son environnement de test, Imperva a ainsi identifié, en mai 2013, rien moins que 3 450 requêtes HTTP manipulant les variables superglobales de PHP, à partir de 27 adresses IP différentes. Soit 55 % des attaques reçues par les honeypots de l’éditeur.
 

Au final, Imperva formule plusieurs recommandations. Comme l’injection externe de paramètres PHP ne fait pas partie d’une fonctionnement normal de l’application, il convient de mettre en place un mécanisme de détection et de blocage des requêtes correspondantes. L’éditeur suggère également des mécanismes de protection applicative multicouches, intégrant notamment la détection de vecteurs d’attaque connus. Et après avoir fait état de vulnérabilités liées à l’outil d’administration MySQL PhpMyAdmin, il recommande de déployer un pare-feu applicatif. Mais les administrateurs de serveurs Web pourraient tout aussi bien prendre soin de désinstaller cet outil avant de passer leurs serveurs en production. Enfin, selon Imperva, «les paramètres liés aux superglobales passés dans les requêtes devraient être bloqués puisqu’il n’ont aucune raison de s’y trouver.»

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)