Datenleck über phpinfo() - Teil 2/2

Dies ist die Fortsetzung des 1. Teiles zu phpinfo(), welcher eine Einführung und eine Übersicht über die gefundenen Daten gibt: https://codepurple.ch/blog/datenleck-uber-phpinfo-teil-12

Bei einem Scan über 2.6 Millionen .ch und .li Domains haben wir nach öffentlichen phpinfo() Dateien gesucht und die gewonnen Daten analysiert. In diesem Teil untersuchen wir die brisanteren Daten-Lecks, welche wir gefunden haben und gehen darauf ein, wie diese durch Angreifer missbraucht werden können.

Problem Web Application Firewall

Viele Webapplikationen sind hinter einer sogenannten WAF (Web Application Firewall). Bei den meisten WAFs wird der Datenverkehr über einen Drittanbieter geleitet, welcher gewisse Angriffe erkennt und diese "bösen" Anfragen blockiert. Solange man die direkte IP-Adresse des Servers, auf welcher die Applikation läuft nicht kennt, wird ein grosser Teil der Angriffe bereits von den WAF-Systemen gefiltert. Findet man jedoch die IP-Adresse des Servers heraus, so kann man direkt darauf zugreifen und alle Schutzmechanismen der WAF umgehen. Die Entwickler/Betreiber verlassen sich oft auf die WAF. Kann die WAF umgangen werden, sind alle Angriffsvektoren wieder offen. Oft ist die IP-Adresse des Servers in den phpinfo() Informationen zu finden. Wenn man die IP des Servers kennt, kann man die Angriffe direkt auf den Server starten und umgeht die WAF.

Wir konnten ca. 500 direkte Server-IP-Adressen herausfinden, von Applikationen, welche hinter einer WAF sind.

Auch konnten wir über die IP-Informationen aus der phpinfo() auf die interne Struktur des Netzwerks schliessen, dass macht es vor allem interessant, wenn es sich um Firmen handelt. Denn so kennt man die interne Struktur des Netzwerks und kann Angriffe darauf ausrichten.

Sensitive Informationen

In den phpinfo Daten sind oft auch die Einstellungen und das Environment des Servers zu finden. Hier sind die wirklich interessanten Informationen wie:

• Datenbankbenutzer mit Passwörtern
• E-Mail-Konto Zugänge
• API-Secrets
• Tokens für den Zugang zu Zahlungsdienstleister
• Credentials für Datenbanken in der Cloud
• Passwörter für Installations-Skripte
• Zugänge zu Message-Queues
• Encryption Keys
• Private Keys

Wir fanden bei hunderten Domains solche Informationen, welche kritisch für die jeweilige Applikation sind, denn mit diesen Informationen können Daten gestohlen, verändert oder zerstört werden.

Bei einem Hoster, welcher vor allem KMUs anspricht, gehen wir davon aus, dass es sich um ein strukturelles Problem handelt. Denn wir fanden die gesamten Datenbankinformationen von vielen Kunden des Hosters. Die Webapplikationen wurden von verschiedenen Softwarefirmen und Agenturen umgesetzt und alle weisen dasselbe Problem auf.

Wie schütze ich mich vor diesem Datenleck?

Machen Sie die phpinfo-Funktionalität nicht öffentlich zugänglich. Legen Sie die Phpinfo-Datei in einen Passwortgeschützten Ordner ab. PHP bietet auch die Möglichkeit einzelne Funktionen zu deaktivieren, so kann phpinfo() auf dem produktiven System deaktiviert werden.