Рост атак ботнетов на PHP-серверы и IoT-гаджеты беспокоит экспертов

Рост атак ботнетов на PHP-серверы и IoT-гаджеты беспокоит экспертов

Специалисты по информационной безопасности отмечают значительное увеличение количества автоматических атак на PHP-серверы, IoT-гаджеты и облачные системы, организованных с применением известных ботнетов типа Mirai, Gafgyt и Mozi.

Согласно свежему отчету подразделения исследований угроз компании Qualys (Qualys TRU), опубликованного в издании The Hacker News, злоумышленники активно эксплуатируют давно выявленные уязвимости (CVE) и неправильные конфигурации облачных ресурсов, захватывая новые узлы для увеличения мощности ботнетов.

Особое беспокойство вызывает тот факт, что среди целей нападений чаще всего оказываются именно PHP-серверы, использующие популярнейшие системы управления содержимым вроде WordPress и Craft CMS. Широкая распространенность таких решений делает инфраструктуру уязвимой, особенно учитывая проблемы с некорректными настройками, старыми версиями расширений и опасное хранение служебных файлов.

Среди опасных слабых мест были выявлены следующие уязвимости популярных PHP-фреймворков:

-CVE-2017-9841: Возможность удаленного исполнения кода в PHPUnit.
-CVE-2021-3129: Эксплуатация удаленного выполнения кода в Laravel.
-CVE-2022-47945: Удаленное выполнение кода в ThinkPHP Framework.

Кроме того, специалисты зафиксировали случаи попыток проникновения через включение сессии отладчика Xdebug путем передачи специального параметра ("/?XDEBUG_SESSION_START=phpstorm") в HTTP-запросы GET. Если этот инструмент остается включенным в рабочем окружении, злоумышленники могут легко проникнуть внутрь инфраструктуры и украсть чувствительные данные.

Также исследователи заметили активность по поиску учетных записей, ключей API и приватных токенов на общедоступных серверах, позволяя нарушителям получать полный контроль над системой. Параллельно ведется эксплуатация хорошо изученных багов в устройствах Интернета вещей, включая следующие критически важные уязвимости:

-CVE-2022-22947: Возможности удаленного выполнения кода в Spring Cloud Gateway.
-CVE-2024-3721: Внедрение команд в цифровые видеорегистраторы TBK DVR-4104/DVR-4216.
-Неправильно настроенная система видеонаблюдения MVPower TV-7104HE, допускающая исполнение случайных команд без аутентификации через обычный HTTP-запрос.

По наблюдениям Qualys, значительная доля атак исходит из крупных облачных платформ — AWS, Google Cloud, Microsoft Azure, DigitalOcean и Akamai Cloud. Этот тренд демонстрирует стремление преступников использовать легальные сервисы для сокрытия своей настоящей локализации и облегчения хакерской деятельности.

Эксперты подчеркнули, что современные преступники зачастую действуют достаточно примитивно, полагаясь на доступные наборы инструментов и готовые решения для быстрого достижения результата.

Рекомендации по защите:

-Регулярно обновляйте программное обеспечение и исправления уязвимостей.
-Отключайте средства разработки и отладки в продакшен-среде.
-Используйте надежные хранилища секретов, такие как AWS Secrets Manager или HashiCorp Vault.
-Ограничивайте открытый доступ к облачным ресурсам.

Комментируя ситуацию, Джеймс Мод, технический директор BeyondTrust, подчеркнул важность изменений роли ботнетов в современных условиях. Теперь они служат не только инструментом для массовых DDoS-атак и криптоджекинга, но и мощным средством компрометации больших объемов данных пользователей.

Рост популярности ботнетов продемонстрирован недавним исследованием фирмы NETSCOUT, которое выделило новое семейство ботнетов TurboMirai, способное инициировать рекордные по мощи DDoS-атаки объемом свыше 20 Тб/с. Основными источниками трафика являются обычные бытовые роутеры, камеры видеонаблюдения и прочие устройства конечного пользователя.

Более того, эти ботнеты предлагают специальные модули для многократного повышения эффективности атак, включая поддержку веб-скрапинга, отправки спама и проведение фишинговых кампаний. Подобные ботнеты превращают захваченные устройства в анонимные прокси-сервисы, используемые клиентами для маскировки реального происхождения атакующих запросов.

Итоговая рекомендация:

Чтобы защититься от подобных рисков, важно своевременно применять обновления программного обеспечения, закрывать ненужные порты и избегать использования простых паролей и дефолтных конфигураций.