Odborníci na kybernetickou bezpečnost upozorňují na prudký nárůst automatizovaných útoků zaměřených na PHP servery, IoT zařízení a cloudové brány ze strany různých botnetů, jako jsou Mirai, Gafgyt a Mozi.
„Tyto automatizované kampaně zneužívají známé zranitelnosti CVE a chybné konfigurace cloudů k získání kontroly nad vystavenými systémy a rozšiřování botnetových sítí,“ uvedla jednotka pro výzkum hrozeb Qualys (TRU) ve zprávě.
Společnost zabývající se kybernetickou bezpečností uvedla, že PHP servery se staly nejčastějšími cíli těchto útoků kvůli rozšířenému používání systémů pro správu obsahu, jako jsou WordPress a Craft CMS. To vytváří rozsáhlou útočnou plochu, protože mnoho PHP nasazení může trpět chybnými konfiguracemi, zastaralými pluginy a tématy a nezabezpečeným ukládáním souborů.
Mezi významné slabiny v PHP frameworcích, které útočníci zneužívají, patří:
CVE-2017-9841 – Zranitelnost vzdáleného spuštění kódu v PHPUnit
CVE-2021-3129 – Zranitelnost vzdáleného spuštění kódu v Laravel
CVE-2022-47945 – Zranitelnost vzdáleného spuštění kódu v ThinkPHP Framework
Qualys také pozoroval pokusy o zneužití zahrnující použití řetězce dotazu „/?XDEBUG_SESSION_START=phpstorm“ v HTTP GET požadavcích k zahájení ladicí relace Xdebug.
„Pokud je Xdebug neúmyslně ponechán aktivní v produkčních prostředích, útočníci mohou tyto relace využít k získání přehledu o chování aplikace nebo extrakci citlivých dat,“ uvedla společnost.
Útočníci také nadále vyhledávají přihlašovací údaje, API klíče a přístupové tokeny na serverech vystavených internetu, aby převzali kontrolu nad zranitelnými systémy, a využívají známé bezpečnostní chyby v IoT zařízeních k jejich začlenění do botnetu. Mezi ně patří:
CVE-2022-22947 – Zranitelnost vzdáleného spuštění kódu v Spring Cloud Gateway
CVE-2024-3721 – Zranitelnost injektáže příkazů v TBK DVR-4104 a DVR-4216
Chybná konfigurace v MVPower TV-7104HE DVR, která umožňuje neautentizovaným uživatelům spouštět libovolné systémové příkazy
Skenování často pochází z cloudových infrastruktur, jako jsou Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean a Akamai Cloud, což ilustruje, jak útočníci zneužívají legitimní služby ve svůj prospěch a zároveň zakrývají svůj skutečný původ.
K ochraně před touto hrozbou se doporučuje udržovat zařízení aktualizovaná, odstraňovat vývojové a ladicí nástroje z produkčních prostředí, zabezpečit tajemství pomocí AWS Secrets Manager nebo HashiCorp Vault a omezit veřejný přístup ke cloudové infrastruktuře.
Odhalení přichází v době, kdy NETSCOUT klasifikoval DDoS-for-hire botnet známý jako AISURU jako novou třídu malwaru nazvanou TurboMirai, který může spouštět DDoS útoky přesahující 20 terabitů za sekundu (Tbps).
„Tyto botnety zahrnují další vyhrazené schopnosti DDoS útoků a víceúčelové funkce, které umožňují jak DDoS útoky, tak další nezákonné aktivity, jako je credential stuffing, web scraping řízený umělou inteligencí, spamming a phishing,“ uvedla společnost.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
