Ботнет атаки срещу PHP сървъри и IoT устройства

Не бъди безразличен, сподели статията с твоите приятели:

Автоматизираните атаки срещу PHP сървъри се разрастват (снимка: CC0 Public Domain)

Наблюдава се рязко увеличение на автоматизираните атаки срещу PHP сървъри. Освен това, редица от най-големите ботнети продължават да експлоатират уязвимости в IoT устройства и облачни шлюзове. Налице е рязък скок и в тази активност.

Изследователите по киберсигурност отбелязват, че през последните месеци се наблюдава значителен ръст в автоматизираните атаки от различни ботнета. Основната цел са PHP сървъри, IoT устройства и облачни шлюзове. Междувременно, ботнетите Mirai, Gafgyt и Mozi демонстрират най-голяма активност в тази област.

Според анализаторите от Qualys, ботнетите експлоатират известни уязвимости, които все още не са коригирани, и неправилно конфигурирани облачни ресурси. Системите, които са компрометирани по този начин, стават част от бот мрежата и по този начин улесняват провеждането на допълнителни атаки.

Нови цели, стари техники

PHP сървърите са главен прицел на нападателите, основно поради високата популярност на системи за управление на съдържание като WordPress и Craft CMS. Според изследователите, това създава чудовищен потенциал за атака, тъй като PHP системите често са неправилно конфигурирани, използват остарели плъгини и теми, а файловете, които се съхраняват в тях, понякога са почти без защита.

Неопровержимо е, че поне три известни уязвимости редовно се използват от ботнет мрежите: CVE-2017-9841 (RCE уязвимост в тестовата рамка PHPUnit), CVE-2021-3129 (RCE уязвимост в рамката Laravel) и CVE-2022-47945 (RCE уязвимост в рамката ThinkPHP). Всички те са на възраст от няколко години и все още не са адресирани в много системи.

Експертите от Qualys отбелязват, че атакуващите често използват командата “/?XDEBUG_SESSION_START=phpstorm” в HTTP GET заявки. Тази команда активира сесия за отстраняване на грешки в Xdebug, което се използва в интегрирани среди за разработка (IDE) като PhpStorm.

Тази сесия позволява на нападателите да наблюдават поведението на целевото приложение и да извадят важни данни. По подразбиране Xdebug трябва да бъде деактивиран след окончателното внедряване, но в много случаи това не е спазвано.

Освен това, ботнет мрежите активно търсят идентификационни данни, API ключове и токени за достъп до сървъри, които са публично достъпни, в стремежа си да придобият контрол върху тях.

В допълнение, наблюдават се многобройни опити за експлоатиране на известни уязвимости в IoT устройства. По-конкретно, това се отнася до грешки като CVE-2022-22947 (RCE уязвимост в Spring облачни шлюзове), CVE-2024-3721 (инжектиране на команди в цифрови видеорекордери TBK DVR-4104 и DVR-4216) и конфигурационни проблеми при цифрови видеорекордери MVPower TV-7104HE, които позволяват изпълнение на произволни команди чрез HTTP GET заявки.

Не се изисква висока квалификация

Според експертите на Qualys, облачните платформи като Amazon Web Services, Google Cloud, Microsoft Azure, Digital Ocean и Akamai Cloud често се използват за извършване на сканирания. Атакуващите активно се възползват от легитимни ресурси, за да маскират истинския произход на своите атаки.

В публикация на Qualys се посочва, че нападателите вече не се нуждаят от сложни техники: „Днешните участници не се нуждаят от никаква напреднала технологична експертиза, за да постигнат желаните резултати. Предвид наличието на множество експлойт комплекти, ботнет рамки и инструменти за сканиране, достъпни публично, дори начинаещите могат да причинят значителни щети”.

Както ръчните, така и автоматизираните атаки в повечето случаи са възможни благодарение на типичен и ограничен набор от недостатъци в целевата инфраструктура. Незакърпен софтуер, уязвимости, които продължават да съществуват години, слаби пароли и грешки в конфигурацията – всичко това е толкова често срещано, колкото и ръководствата за начинаещи хакери за експлоатация на тези слабости.

Всъщност, днес не е необходимо да си експерт, за да станеш активен кибератакуващ, отбелязват изследователите по сигурността.

Hacker News цитира Джеймс Мод, главен технически директор на BeyondTrust, който коментира, че ботнет мрежите, които преди това бяха известни основно с DDoS атаки и разпространение на спам, вече играят все по-значима роля в заплахите, свързани със злоупотреба с лични данни.