Наблюдава се рязко увеличение на автоматизираните атаки срещу PHP сървъри. Освен това, редица от най-големите ботнети продължават да експлоатират уязвимости в IoT устройства и облачни шлюзове. Налице е рязък скок и в тази активност.
Изследователите по киберсигурност отбелязват рязко увеличение на автоматизираните атаки от няколко ботнета. Атаките са насочени предимно към PHP сървъри, IoT устройства и облачни шлюзове. Ботнетите Mirai, Gafgyt и Mozi са най-активни.
Според експертите на Qualys, ботнетите експлоатират известни (но некоригирани) уязвимости и неправилни конфигурации в облачните ресурси. Системите, компрометирани по този начин, стават част от ботнета и следователно улесняват по-нататъшни атаки.
Нови цели, стари техники
PHP сървърите са попаднали във фокуса на нападателите главно поради широкото използване на системи за управление на съдържание като WordPress и Craft CMS. Това, пишат изследователите, създава огромна повърхност за атака, тъй като PHP системите, разположени на мрежови ресурси, често са лошо конфигурирани, използват остарели плъгини и теми, а файловете, които съхраняват, понякога нямат никаква смислена защита.
Известно е, че поне три уязвимости редовно се използват от ботнет мрежи: CVE-2017-9841 (RCE уязвимост в тестовата рамка PHPUnit), CVE-2021-3129 (RCE уязвимост в рамката Laravel) и CVE-2022-47945 (RCE уязвимост в рамката ThinkPHP). Всички те са на няколко години.
Експертите на Qualys също така отбелязват редовното използване на командата “/?XDEBUG_SESSION_START=phpstorm” в HTTP GET заявки, които стартират сесия за отстраняване на грешки в Xdebug в интегрирани среди за разработка (IDE) като PhpStorm.
Тази сесия позволява изучаване на поведението на целевото приложение и показване на смислени данни. По подразбиране Xdebug трябва да бъде деактивиран след окончателното внедряване, но това не винаги е така.
Ботнет мрежите също активно търсят идентификационни данни, API ключове и токени за сървъри, достъпни през интернет, с надеждата да получат контрол.
Наблюдавани са и многобройни опити за използване на широко известни уязвимости в IoT устройства. По-конкретно, това се отнася до грешки като CVE-2022-22947 (RCE уязвимост в Spring облачни шлюзове), CVE-2024-3721 (инжектиране на команди в цифрови видеорекордери TBK DVR-4104 и DVR-4216) и грешки в конфигурацията на цифрови видеорекордери MVPower TV-7104HE, които позволяват изпълнение на произволни команди чрез HTTP GET заявки.
Не се изисква висока квалификация
Експертите на Qualys отбелязват, че облачни ресурси като Amazon Web Services, Google Cloud, Microsoft Azure, Digital Ocean и Akamai Cloud често са източник на сканирания. Атакуващите активно използват легитимни ресурси, за да скрият истинския източник на атаките.
Публикация на Qualys посочва, че нападателите вече не се нуждаят от по-сложни подходи: „Днешните участници не се нуждаят от никаква напреднала технологична експертиза, за да постигнат желаните резултати. Предвид броя на експлойт комплектите, ботнет рамките и инструментите за сканиране, достъпни публично, дори начинаещите могат да причинят значителни щети”.
Както ръчните, така и автоматизираните атаки в повечето случаи са възможни благодарение на типичен и ограничен набор от недостатъци в целевата инфраструктура. Незакърпен софтуер, уязвимости, които продължават години въпреки корекциите, слаби пароли и грешки в конфигурацията – всичко това е толкова често срещано, колкото и ръководствата за използване на тези недостатъци за начинаещи хакери.
Всъщност днес не е нужно да сте ракетен учен, за да станете продуктивен кибератакуващ, казват изследователите на сигурността.
Hacker News цитира Джеймс Мод, главен технически директор на BeyondTrust, който казва, че ботнет мрежите, които преди това са били свързвани с DDoS атаки и спам, все по-често играят различна роля в пейзажа на заплахите: злоупотребата с лични данни.
