Los investigadores de ciberseguridad están llamando la atención sobre un aumento en los ataques automatizados dirigidos a servidores PHP, dispositivos IoT y puertas de enlace en la cirro por parte de varias botnets como Mirai, Gafgyt y Mozi.
«Estas campañas automatizadas explotan vulnerabilidades CVE conocidas y configuraciones erróneas de la cirro para obtener control sobre los sistemas expuestos y expandir las redes de botnets», dijo la Pelotón de Investigación de Amenazas (TRU) de Qualys en un crónica compartido con The Hacker News.
La empresa de ciberseguridad dijo que los servidores PHP se han convertido en los objetivos más destacados de estos ataques correcto al uso generalizado de sistemas de papeleo de contenidos como WordPress y Craft CMS. Esto, a su vez, crea una gran superficie de ataque, ya que muchas implementaciones de PHP pueden sufrir configuraciones incorrectas, complementos y temas obsoletos y almacenamiento de archivos inseguro.
Algunas de las debilidades destacadas en los marcos PHP que han sido explotados por actores de amenazas se enumeran a continuación:
- CVE-2017-9841 – Una vulnerabilidad de ejecución remota de código en PHPUnit
- CVE-2021-3129 – Una vulnerabilidad de ejecución remota de código en Laravel.
- CVE-2022-47945 – Una vulnerabilidad de ejecución remota de código en ThinkPHP Framework
Qualys dijo que incluso ha observado esfuerzos de explotación que implican el uso de la esclavitud de consulta «/?XDEBUG_SESSION_START=phpstorm» en solicitudes HTTP GET para iniciar una sesión de depuración de Xdebug con un entorno de exposición integrado (IDE) como PhpStorm.
«Si Xdebug se deja activo involuntariamente en entornos de producción, los atacantes pueden usar estas sesiones para obtener información sobre el comportamiento de las aplicaciones o extraer datos confidenciales», dijo la compañía.
Alternativamente, los actores de amenazas continúan buscando credenciales, claves API y tokens de camino en servidores expuestos a Internet para tomar el control de sistemas susceptibles, así como explotar fallas de seguridad conocidas en dispositivos IoT para incorporarlos a una botnet. Estos incluyen –
- CVE-2022-22947 – Una vulnerabilidad de ejecución remota de código en Spring Cloud Gateway
- CVE-2024-3721 – Una vulnerabilidad de inyección de comando en TBK DVR-4104 y DVR-4216
- Una configuración incorrecta en MVPower TV-7104HE DVR que permite a usuarios no autenticados ejecutar comandos arbitrarios del sistema a través de una solicitud HTTP GET
La actividad de escaneo, agregó Qualys, a menudo se origina en infraestructuras en la cirro como Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean y Akamai Cloud, lo que ilustra cómo los actores de amenazas abusan de servicios legítimos para su beneficio mientras oscurecen sus verdaderos orígenes.
«Los actores de amenazas actuales no necesitan ser muy sofisticados para ser efectivos», señaló. «Con kits de exploits, marcos de botnets y herramientas de escaneo ampliamente disponibles, incluso los atacantes de nivel esencial pueden causar daños significativos».
Para acogerse contra la amenaza, se recomienda que los usuarios mantengan sus dispositivos actualizados, eliminen las herramientas de exposición y depuración en los entornos de producción, protejan los secretos utilizando AWS Secrets Manager o HashiCorp Vault y restrinjan el camino notorio a la infraestructura de la cirro.
«Si acertadamente las botnets se han asociado anteriormente con ataques DDoS a gran escalera y estafas ocasionales de criptominería, en la era de las amenazas a la seguridad de la identidad, las vemos admitir un nuevo papel en el ecosistema de amenazas», dijo James Maude, CTO de campo de BeyondTrust.
«Tener camino a una vasta red de enrutadores y sus direcciones IP puede permitir a los actores de amenazas realizar ataques de relleno de credenciales y rociado de contraseñas a gran escalera. Las botnets incluso pueden escamotear los controles de geolocalización robando las credenciales de un sucesor o secuestrando una sesión de navegador y luego usando un nodo de botnet cerca de la ubicación existente de la víctima y tal vez incluso usando el mismo ISP que la víctima para escamotear detecciones de inicio de sesión o políticas de camino inusuales».
La divulgación se produce cuando NETSCOUT clasificó la botnet DDoS de arriendo conocida como AISURU como una nueva clase de malware denominada TurboMirai que puede propalar ataques DDoS que superan los 20 terabits por segundo (Tbps). La botnet comprende principalmente enrutadores de camino de manada ancha para consumidores, sistemas CCTV y DVR en hilera y otros equipos en las instalaciones del cliente (CPE).
«Estas botnets incorporan capacidades adicionales de ataque DDoS dedicadas y funciones de usos múltiples, permitiendo tanto ataques DDoS como otras actividades ilícitas como relleno de credenciales, web scraping impulsado por inteligencia industrial (IA), spam y phishing», dijo la compañía.
«AISURU incluye un servicio de proxy residencial integrado que se utiliza para reverberar los ataques DDoS a la capa de aplicación HTTPS generados por jaeces de ataque externos».
Convertir los dispositivos comprometidos en un proxy residencial permite a los clientes que pagan dirigir su tráfico a través de uno de los nodos de la botnet, ofreciendo anonimato y la capacidad de integrarse con la actividad habitual de la red. Según el periodista independiente de seguridad Brian Krebs, todos los principales servicios de proxy han crecido exponencialmente en los últimos seis meses, citando datos de spur.us.
