Los investigadores de ciberseguridad están llamando la atención sobre un aumento en los ataques automatizados dirigidos a servidores PHP, dispositivos IoT y puertas de enlace en la nube por parte de varias redes de bots, como mirai, gafgyty mozi.
«Estas campañas automatizadas explotan vulnerabilidades CVE conocidas y configuraciones erróneas de la nube para obtener control sobre los sistemas expuestos y expandir las redes de botnets», dijo la Unidad de Investigación de Amenazas (TRU) de Qualys en un informe compartido con The Hacker News.
La empresa de ciberseguridad dijo que los servidores PHP se han convertido en los objetivos más destacados de estos ataques debido al uso generalizado de sistemas de gestión de contenidos como WordPress y CMS artesanal. Esto, a su vez, crea una gran superficie de ataque, ya que muchas implementaciones de PHP pueden sufrir configuraciones incorrectas, complementos y temas obsoletos y almacenamiento de archivos inseguro.
Algunas de las debilidades destacadas en los marcos PHP que han sido explotados por actores de amenazas se enumeran a continuación:
- CVE-2017-9841 – Una vulnerabilidad de ejecución remota de código en PHPUnit
- CVE-2021-3129 – Una vulnerabilidad de ejecución remota de código en Laravel.
- CVE-2022-47945 – Una vulnerabilidad de ejecución remota de código en ThinkPHP Framework
Qualys dijo que también ha observado esfuerzos de explotación que implican el uso de la cadena de consulta «/?XDEBUG_SESSION_START=phpstorm» en solicitudes HTTP GET para iniciar un Sesión de depuración de Xdebug con un entorno de desarrollo integrado (IDE) como PhpStorm.
«Si Xdebug se deja activo involuntariamente en entornos de producción, los atacantes pueden usar estas sesiones para obtener información sobre el comportamiento de las aplicaciones o extraer datos confidenciales», dijo la compañía.
Alternativamente, los actores de amenazas continúan buscando credenciales, claves API y tokens de acceso en servidores expuestos a Internet para tomar el control de sistemas susceptibles, así como aprovechar fallas de seguridad conocidas en dispositivos IoT para incorporarlos a una botnet. Estos incluyen –
- CVE-2022-22947 – Una vulnerabilidad de ejecución remota de código en Spring Cloud Gateway
- CVE-2024-3721 – Una vulnerabilidad de inyección de comando en TBK DVR-4104 y DVR-4216
- Una configuración incorrecta en MVPower TV-7104HE DVR que permite a usuarios no autenticados ejecutar comandos arbitrarios del sistema a través de una solicitud HTTP GET
La actividad de escaneo, agregó Qualys, a menudo se origina en infraestructuras en la nube como Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean y Akamai Cloud, lo que ilustra cómo los actores de amenazas abusan de servicios legítimos para su beneficio mientras oscurecen sus verdaderos orígenes.
«Los actores de amenazas actuales no necesitan ser muy sofisticados para ser efectivos», señaló. «Con kits de exploits, marcos de botnets y herramientas de escaneo ampliamente disponibles, incluso los atacantes de nivel básico pueden causar daños significativos».
Para protegerse contra la amenaza, se recomienda que los usuarios mantengan sus dispositivos actualizados, eliminen las herramientas de desarrollo y depuración en los entornos de producción, protejan los secretos utilizando AWS Secrets Manager o HashiCorp Vault y restrinjan el acceso público a la infraestructura de la nube.
«Si bien las botnets se han asociado anteriormente con ataques DDoS a gran escala y estafas ocasionales de criptominería, en la era de las amenazas a la seguridad de la identidad, las vemos asumir un nuevo papel en el ecosistema de amenazas», dijo James Maude, CTO de campo de BeyondTrust.
«Tener acceso a una vasta red de enrutadores y sus direcciones IP puede permitir a los actores de amenazas realizar ataques de relleno de credenciales y rociado de contraseñas a gran escala. Las botnets también pueden evadir los controles de geolocalización robando las credenciales de un usuario o secuestrando una sesión de navegador y luego usando un nodo de botnet cerca de la ubicación real de la víctima y tal vez incluso usando el mismo ISP que la víctima para evadir detecciones de inicio de sesión o políticas de acceso inusuales».
La divulgación se produce cuando NETSCOUT clasificó la botnet de alquiler DDoS conocida como AISURU como una nueva clase de malware denominada TurboMirai que puede lanzar ataques DDoS que superan los 20 terabits por segundo (Tbps). La botnet comprende principalmente enrutadores de acceso de banda ancha para consumidores, sistemas CCTV y DVR en línea y otros equipos en las instalaciones del cliente (CPE).
«Estas botnets incorporan capacidades adicionales de ataque DDoS dedicadas y funciones de usos múltiples, lo que permite tanto ataques DDoS como otras actividades ilícitas como relleno de credenciales, web scraping impulsado por inteligencia artificial (IA), spam y phishing», dijo la compañía. dicho.
«AISURU incluye un servicio de proxy residencial integrado que se utiliza para reflejar los ataques DDoS a la capa de aplicación HTTPS generados por arneses de ataque externos».
Convertir los dispositivos comprometidos en un proxy residencial permite a los clientes que pagan dirigir su tráfico a través de uno de los nodos de la botnet, ofreciendo anonimato y la capacidad de integrarse con la actividad habitual de la red. Según el periodista independiente de seguridad Brian Krebs, todos los principales servicios de proxy tienen crecido exponencialmente durante los últimos seis meses, citando datos de spur.us.
Fuente