Изследователи по киберсигурност от Qualys Threat Research Unit (TRU) алармираха за рязко увеличаване на атаките, насочени към PHP сървъри, интернет на нещата (IoT) устройства и облаци.
Според доклада, публикуван днес, зад тази вълна стоят ботнети като Mirai, Gafgyt и Mozi, които използват известни уязвимости (CVE) и грешни cloud конфигурации, за да разширят своя обхват.
PHP и облаците – новите „горещи точки“ на атаките
PHP захранва над 73% от всички уебсайтове, а 82% от организациите вече са докладвали инциденти, свързани с грешни cloud конфигурации. Това превръща сървърите с PHP-базирани приложения (като WordPress) в основна цел за атаки, търсещи дистанционно изпълнение на код (RCE) или кражба на данни.
„Рутерите и IoT устройствата отдавна са под обстрел и често биват компрометирани, за да изграждат все по-големи ботнети,“ казва Джеймс Моуд, главен технически директор на BeyondTrust.
Той напомня, че Mirai се е появил преди почти десетилетие, използвайки едва 60 стандартни комбинации от потребител и парола, за да зарази огромен брой устройства.
„Историята не се повтаря, но често се римува, когато става въпрос за компрометиране на рутери и изграждане на ботнети“, допълва той.
Уязвимости под активна експлоатация
Екипът на Qualys подчертава няколко конкретни уязвимости, които в момента се експлоатират активно:
-
CVE-2022-47945 – RCE уязвимост в ThinkPHP поради недостатъчна проверка на входни данни
-
CVE-2021-3129 – активиран Laravel Ignition дебъгинг маршрут в продукционна среда
-
CVE-2017-9841 – дългогодишна уязвимост в PHPUnit, която излага скрипта eval-stdin.php
Атакуващите често злоупотребяват и с несигурни конфигурации, включително активни дебъгинг инструменти (като XDebug) и неправилно съхранени идентификационни данни.
Регистрирани са и многобройни опити за извличане на AWS ключове от Linux сървъри, изложени в интернет.
IoT и облачните среди остават критично уязвими
Докладът цитира и CVE-2024-3721 – TBK DVR command injection уязвимост, която Mirai-подобни ботнети активно експлоатират, както и атаки срещу MVPower DVRs, известни с„вградени“ бекдори.
„Днешните ботнети не се ограничават само до DDoS атаки и криптомайнинг,“ подчертава Моуд.
„Те вече се използват за масови кампании по отгатване и тестване на пароли, използвайки компрометирани рутери като разпределена инфраструктура.“
Cloud средите също са изложени на риск чрез CVE-2022-22947 в Spring Cloud Gateway, позволяваща неоторизирано изпълнение на код.
„Днес разработчиците могат да създадат и свържат cloud услуги по-бързо, отколкото екипите по сигурност могат да ги проследят,“ казва Трей Форд, директор по стратегия и доверие в Bugcrowd.
„Ако не виждате своята атакуема повърхност и не следите промените в реално време – няма как да я защитите.“
Препоръки за защита и устойчивост
Според Скот Шнайдер от iCOUNTER, подходът на risk-based vulnerability management (RBVM) е ключов за приоритизацията на най-сериозните заплахи.
Той препоръчва организациите да оценяват критичността на активите, вероятността от експлоатация и степента на експозиция, за да насочат усилията си към най-опасните уязвимости.
Qualys TRU препоръчва следните мерки:
-
Навременно прилагане на актуализации и пачове
-
Деактивиране на дебъгинг инструменти в продукционна среда
-
Използване на управляеми хранилища за тайни вместо обикновени текстови файлове
-
Ограничаване на достъпа по IP адреси
-
Наблюдение на cloud логовете за злоупотреба с идентификационни данни
Qualys предупреждава, че днешните нападатели вече не се нуждаят от висока квалификация, за да причинят значителни щети.
„С наличните публично експлойт комплекти и автоматизирани скенери, дори начинаещи могат да компрометират цели системи,“ се казва в доклада.
Затова компаниите трябва да преминат към непрекъснат мониторинг, автоматизирана реакция и проактивно управление на уязвимости, за да се защитят от новата вълна от атаки, която залива PHP сървъри, IoT устройства и облачни среди.
