Sicherheitslücke in Laravel: Über 600 Anwendungen durch APP_KEYs gefährdet

LONDON (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Laravel-Anwendungen hat die Aufmerksamkeit von Cybersicherheitsexperten auf sich gezogen. Durch die unachtsame Veröffentlichung von APP_KEYs auf Plattformen wie GitHub sind zahlreiche Anwendungen anfällig für Remote-Code-Ausführung.

Die Entdeckung einer kritischen Sicherheitslücke in Laravel-Anwendungen hat die IT-Sicherheitsgemeinschaft alarmiert. Forscher haben herausgefunden, dass durch die Veröffentlichung von APP_KEYs auf Plattformen wie GitHub Angreifer in der Lage sind, Remote-Code-Ausführungen auf betroffenen Servern durchzuführen. Der APP_KEY, ein wesentlicher Bestandteil zur Verschlüsselung sensibler Daten, wird häufig in öffentlichen Repositories gefunden, was ein erhebliches Risiko für die betroffenen Anwendungen darstellt.

GitGuardian, ein Unternehmen, das sich auf die Erkennung von Geheimnissen in Code-Repositories spezialisiert hat, hat in Zusammenarbeit mit Synacktiv über 260.000 APP_KEYs auf GitHub identifiziert, die zwischen 2018 und Mai 2025 veröffentlicht wurden. Dabei wurden mehr als 600 Laravel-Anwendungen als verwundbar eingestuft. Besonders besorgniserregend ist, dass über 10.000 einzigartige APP_KEYs entdeckt wurden, von denen 400 als funktional bestätigt wurden.

Der APP_KEY ist ein zufällig generierter 32-Byte-Schlüssel, der während der Installation von Laravel erstellt wird. Er wird in der .env-Datei der Anwendung gespeichert und dient der Verschlüsselung und Entschlüsselung von Daten sowie der Generierung sicherer, zufälliger Zeichenfolgen. Die aktuelle Implementierung der decrypt()-Funktion in Laravel birgt jedoch ein Sicherheitsrisiko, da sie entschlüsselte Daten automatisch deserialisiert und so eine potenzielle Angriffsfläche für Remote-Code-Ausführungen bietet.

Diese Schwachstelle wurde erstmals mit CVE-2018-15133 dokumentiert, die Laravel-Versionen vor 5.6.30 betraf. Doch auch in neueren Versionen bleibt dieser Angriffsvektor bestehen, wenn Entwickler die Sitzungsserialisierung in Cookies explizit konfigurieren. Dies wird durch CVE-2024-55556 verdeutlicht. Angreifer, die den APP_KEY erlangen und die decrypt()-Funktion mit einer bösartig gestalteten Nutzlast aufrufen können, sind in der Lage, Remote-Code-Ausführungen auf dem Laravel-Webserver zu erreichen.

Die Analyse zeigt, dass 63 % der APP_KEY-Expositionen aus .env-Dateien stammen, die oft weitere wertvolle Geheimnisse wie Cloud-Speichertoken und Datenbankanmeldeinformationen enthalten. Besonders gefährlich ist die gleichzeitige Exposition von APP_KEY und APP_URL, da dies Angreifern ermöglicht, direkt auf die Anwendung zuzugreifen und Sitzungs-Cookies zu entschlüsseln.

Ein einfaches Entfernen von Geheimnissen aus Repositories reicht nicht aus, da sie möglicherweise bereits von Dritten geklont oder zwischengespeichert wurden. Entwickler sollten daher einen klaren Rotationspfad implementieren und ein kontinuierliches Monitoring einführen, um zukünftige Expositionen zu verhindern. GitGuardian empfiehlt, kompromittierte APP_KEYs sofort zu rotieren und alle Produktionssysteme mit dem neuen Schlüssel zu aktualisieren.

Diese Vorfälle sind Teil einer größeren Klasse von PHP-Deserialisierungsschwachstellen, bei denen Angreifer mit Werkzeugen wie phpggc Gadget-Ketten erstellen können, die ungewollte Verhaltensweisen während des Objektladens auslösen. In Laravel-Umgebungen mit geleakten Schlüsseln können solche Gadgets vollständige Remote-Code-Ausführungen erreichen, ohne die Logik oder Routen der Anwendung zu durchbrechen.

Die Offenlegung dieser Sicherheitslücke erfolgt, nachdem GitGuardian bekannt gegeben hat, dass es in öffentlich zugänglichen Docker-Images auf DockerHub eine “erstaunliche Anzahl von 100.000 gültigen Geheimnissen” entdeckt hat. Diese beinhalten Geheimnisse, die mit Amazon Web Services (AWS), Google Cloud und GitHub-Token verbunden sind. Eine neue Analyse von Binarly über 80.000 einzigartige Docker-Images hat ebenfalls 644 einzigartige Geheimnisse aufgedeckt, die generische Anmeldeinformationen, JSON-Web-Tokens und andere umfassen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!