Поделиться
Ботнеты стали охотиться на серверы PHP
Наблюдается резкий всплеск автоматизированных атак на серверы PHP. Помимо этого ряд крупнейших ботнетов продолжают эксплуатировать уязвимости в устройствах интернета вещей и облачных шлюзах. В последнее время наблюдается резкий всплеск такой активности.
Новые цели, старые приёмы
Исследователи кибербезопасности отмечают резкий всплеск автоматизированных атак со стороны нескольких ботнетов. Атаки нацелены, в первую очередь, на серверы PHP, устройства интернета вещей и облачные шлюзы. Наибольшую активность проявляют ботнеты Mirai, Gafgyt и Mozi.
По данным экспертов Qualys, ботнеты эксплуатируют известные (но не закрытые) уязвимости и ошибки в настройках облачных ресурсов. Скомпрометированные таким образом системы становятся частью ботнета и, соответственно, способствуют дальнейшим атакам.
PHP-серверы попали в прицел, главным образом, из-за широкого распространения систем управления контентом WordPress и Craft CMS. Это, как пишут исследователи, создаёт огромную поверхность атаки, поскольку PHP-системы, развёрнутые на сетевых ресурсах, часто слабы настройками, используют допотопные плагины и темы оформления, а хранящиеся при них файлы подчас лишены какой-либо осмысленной защиты.
Известны как минимум три уязвимости, которые регулярно эксплуатируют ботнеты: CVE-2017-9841 (RCE-уязвимость в тестовом фреймворке PHPUnit), CVE-2021-3129 (RCE-уязвимость во фреймворке Laravel) и CVE-2022-47945 (RCE-уязвимость во фреймворке ThinkPHP). Как нетрудно заметить, им всем по несколько лет.
Эксперты Qualys отмечают также регулярное использование команды "/?XDEBUG_SESSION_START=phpstorm" в запросах HTTP GET, которые запускают отладочную сессию Xdebug внутри интегрированных сред разработки (IDE), таких как PhpStorm.
Такая сессия позволяет изучать поведение целевого приложения и выводить значимые данные. По умолчанию Xdebug должен быть деактивирован после финального развёртывания, но это происходит не всегда.
Ботнеты также активно ищут реквизиты доступа, API-ключи и токены к доступным из интернета серверам в надежде захватить над ними контроль. Наблюдаются и многочисленные попытки эксплуатировать широко известные уязвимости в устройствах интернета вещей. Речь, в частности, идёт о таких «багах» как CVE-2022-22947 (RCE-уязвимость в облачных шлюзах Spring), CVE-2024-3721 (внедрение команд в цифровых видеорекордерах TBK DVR-4104 и DVR-4216), а также ошибки в настройках в цифровых рекордерах MVPower TV-7104HE, которые позволяют запускать произвольные команды через запросы HTTP GET.
Высокая квалификация больше не требуется
Эксперты Qualys отмечают, что источником сканирования нередко выступают облачные ресурсы, такие как Amazon Web Services, Google Cloud, Microsoft Azure, Digital Ocean и Akamai Cloud. Злоумышленники активно эксплуатируют легитимные ресурсы, чтобы скрыть реальные источники атак. Публикация Qualys указывает, что у злоумышленников больше нет необходимости в каких-то более технически сложных подходах:
«Сегодняшним акторам совершенно не нужно обладать высокой технологической квалификацией, чтобы достигать нужных им результатов. Учитывая, как много наборов эксплойтов, ботнет-фреймворков и средств сканирования оказываются общедоступными, даже начинающие могут причинить серьёзный ущерб», - говорится в публикации.
«И ручные, и автоматизированные атаки в большинстве случаев становятся возможными в силу типового и конечного набора недочётов в атакуемой инфраструктуре, - указывает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Необновляемое ПО, уязвимости, сохраняющиеся годами, несмотря на выход патчей, слабые пароли, ошибки в настройках, - всё это распространено настолько же, насколько и инструкции по эксплуатации этих проблем для script-kiddies - начинающих хакеров. Действительно, сегодня совсем не обязательно быть семи пядей во лбу, чтобы стать продуктивным киберзлоумышленником».
Издание The Hacker News также приводит слова директора по технологиям фирмы BeyondTrust Джеймса Мода (James Maude), который указывает, что ботнеты, прежде ассоциировавшиеся с DDoS-атаками и спамом, всё чаще начинают играть совсем другую роль в общем ландшафте угроз: речь идёт об злоупотреблениях персональными данными.
Короткая ссылка
