Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Ботнеты атакуют PHP, IoT, облака

2 мин
Изображение: recraft Компания Qualys опубликовала отчёт, посвящённый росту угроз, связанных с активностью ботнетов, нацеленных на PHP-серверы, IoT-устройства и облачную инфраструктуру. Исследование подготовлено экспертами подразделения Threat Research Unit и демонстрирует, как уязвимости, ошибки конфигурации и недоработки в защите превращаются в инструмент масштабных атак. Специалисты фиксируют стремительное распространение вредоносных сетей Mirai, Gafgyt и Mozi. Эти ботнеты используют уязвимости из публичных баз данных и нестабильные настройки в облачных средах, чтобы наращивать охват и захватывать всё больше устройств. Поверхность атак продолжает расширяться — на фоне того, что PHP задействован более чем на 73% веб-ресурсов, а 82% компаний отмечают случаи неправильного конфигурирования облачных сервисов. Особую уязвимость представляют серверы, на которых развернуты сайты на CMS вроде WordPress. Они становятся привлекательной целью для атак с целью получения удалённого контроля или хи

Изображение: recraft

Компания Qualys опубликовала отчёт, посвящённый росту угроз, связанных с активностью ботнетов, нацеленных на PHP-серверы, IoT-устройства и облачную инфраструктуру. Исследование подготовлено экспертами подразделения Threat Research Unit и демонстрирует, как уязвимости, ошибки конфигурации и недоработки в защите превращаются в инструмент масштабных атак.

Специалисты фиксируют стремительное распространение вредоносных сетей Mirai, Gafgyt и Mozi. Эти ботнеты используют уязвимости из публичных баз данных и нестабильные настройки в облачных средах, чтобы наращивать охват и захватывать всё больше устройств. Поверхность атак продолжает расширяться — на фоне того, что PHP задействован более чем на 73% веб-ресурсов, а 82% компаний отмечают случаи неправильного конфигурирования облачных сервисов.

Особую уязвимость представляют серверы, на которых развернуты сайты на CMS вроде WordPress. Они становятся привлекательной целью для атак с целью получения удалённого контроля или хищения критических данных. В документе подчёркивается, что многие организации недооценивают риски, связанные с использованием устаревших или неправильно настроенных компонентов.

Инфраструктура Интернета вещей и маршрутизаторы остаются под постоянным давлением — злоумышленники используют их в качестве платформы для расширения ботнетов. Специалисты напоминают, что ещё в середине 2010-х Mirai заражал устройства, подбирая пароли из ограниченного набора типовых значений. Новые волны атак демонстрируют сходные сценарии, опираясь на упущения в защите и предсказуемость конфигураций.

В числе активно эксплуатируемых уязвимостей названы:

  • CVE-2022-47945 — удалённое выполнение команд в ThinkPHP из-за некорректной обработки входных параметров;
  • CVE-2021-3129 — оставленный в публичном доступе отладочный маршрут Laravel Ignition;
  • CVE-2017-9841 — уязвимость PHPUnit, связанная с опасным скриптом eval-stdin.php.

Атакующие также активно используют недоработки в работе с отладочными инструментами (например, XDebug) и неправильное хранение чувствительной информации в коде. В отчёте приводятся примеры сканирования уязвимых Linux-серверов в поисках файлов с закрытыми данными Amazon Web Services — злоумышленники стремятся получить прямой доступ к конфиденциальной информации, хранящейся в облаке.

Оригинал публикации на сайте CISOCLUB: "Qualys: массовое использование PHP и IoT привело к всплеску атак ботнетов на серверы и облачные шлюзы".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Интернет вещей (IoT)
51,2 тыс интересуются