PHP 5 fine vita – milioni di siti web vulnerabili
A partire da questo mese, le versioni 5.6 e 7.0 del linguaggio di scripting lato server PHP raggiungeranno la fine del ciclo di vita e non saranno più supportate. I siti Web che utilizzano queste versioni di PHP verranno eseguiti su piattaforme che non riceveranno più aggiornamenti o patch di sicurezza.
Tali siti saranno estremamente vulnerabili ad attacchi informatici e, di conseguenza, all’esposizione dei dati.
Diffusione di PHP 5
E’ necessario aggiornare immediatamente i siti che eseguono PHP 5 alle versioni più recenti (e supportate!) di PHP: 7.2 e 7.3. Purtroppo a molte aziende manca la visibilità di quante e quali applicazioni possiedano. Quali di esse siano esposte su Internet e di conseguenza ad attacchi. Quali eseguano PHP e, conseguentemente, debbano aggiornare all’ultima versione.
PHP 5 è ancora molto diffuso, eppure è evidente ci si stia muovendo per aggiornare i siti. Nel grafico seguente, è possibile osservare un picco nell’adozione della versione 7 di PHP, probabilmente in un ultimo tentativo di aggiornamento prima della fine del ciclo di vita:
Stato del supporto e cicli vitali
NON riceverà aggiornamenti di sicurezza dopo il 31 dic 2018.
NON riceverà aggiornamenti di sicurezza dopo il 3 dic 2018.
Riceverà aggiornamenti di sicurezza fino al 1 dicembre 2019.
Riceverà aggiornamenti di sicurezza fino al 30 novembre 2020.
Rriceverà aggiornamenti di sicurezza fino al 6 dicembre 2021.
E’ sufficiente ragionare su alcuni dati:
- WordPress, il software che alimenta il 31% dei siti web, raccomanda l’utilizzo di PHP 7.2 ma il 64,5% usa ancora il 5.x e il 19,8% usa 7.0.
- Laravel 5.7 richiede ≥7.1.3.
- Magento 2 supporta 7.0.13-7.0.x e 7.1.x.
Conseguenze prossime
Per fare un esempio, proprio recentemente, è stata divulgata una nuova vulnerabilità di Drupal che ha richiesto la necessità di applicare patch su migliaia di host.
Sfortunatamente, molti team di sicurezza sono parzialmente ciechi: risorse sconosciute, non documentate e non gestite che spesso fungono da incursioni per attacchi informatici e violazioni dei dati dall’esterno. Avrebbero bisogno di un sistema che monitorasse costantemente le risorse Web. Uno strumento di scansione che si aggiorni automaticamente con le ultime informazioni sulle nuove vulnerabilità, proprio come le versioni obsolete di PHP.
E’ chiaro che molte aziende non siano in grado di porre rimedio autonomamente a queste vulnerabilità. Ma la visibilità della portata dell’impatto consente ad un’organizzazione di gestire e comprendere il proprio rischio complessivo e di quali strategie adottare.
E’ dunque ovvio che quelle aziende che possiedono siti che utilizzano ancora PHP 5.x (o 7.0) debbano contattare il proprio provider di hosting per iniziare ad utilizzare una versione sicura del linguaggio. Quantomeno la 7.2.
Le aziende che avessero necessità di identificare se siano vulnerabili o che avessero necessità di supporto nel migrare (piattaforme o applicazioni) ad una versione sicura di PHP contattino NAD oggi stesso.