Cybersecurity-onderzoekers vestigen de aandacht op een piek in geautomatiseerde aanvallen gericht op PHP-servers, IoT-apparaten en cloud-gateways door verschillende botnets zoals Mirai, Gafgyt en Mozi.
“Deze geautomatiseerde campagnes maken gebruik van bekende CVE-kwetsbaarheden en misconfiguraties in de cloud om controle te krijgen over blootgestelde systemen en botnetnetwerken uit te breiden”, aldus de Qualys Threat Research Unit (TRU) in een rapport gedeeld met The Hacker News.
Het cyberbeveiligingsbedrijf zei dat PHP-servers naar voren zijn gekomen als de meest prominente doelwitten van deze aanvallen vanwege het wijdverbreide gebruik van contentmanagementsystemen zoals WordPress en Craft CMS. Dit zorgt op zijn beurt voor een groot aanvalsoppervlak, aangezien veel PHP-implementaties te kampen hebben met verkeerde configuraties, verouderde plug-ins en thema’s, en onveilige bestandsopslag.
Enkele van de prominente zwakke punten in PHP-frameworks die door bedreigingsactoren zijn uitgebuit, worden hieronder opgesomd:
- CVE-2017-9841 – Een kwetsbaarheid voor het uitvoeren van externe code in PHPUnit
- CVE-2021-3129 – Een kwetsbaarheid voor het uitvoeren van externe code in Laravel
- CVE-2022-47945 – Een kwetsbaarheid voor het uitvoeren van externe code in ThinkPHP Framework
Qualys zei dat het ook exploitatie-inspanningen heeft waargenomen waarbij de querystring “/?XDEBUG_SESSION_START=phpstorm” in HTTP GET-verzoeken werd gebruikt om een Xdebug-foutopsporingssessie te starten met een geïntegreerde ontwikkelomgeving (IDE) zoals PhpStorm.
“Als Xdebug onbedoeld actief blijft in productieomgevingen, kunnen aanvallers deze sessies gebruiken om inzicht te krijgen in het gedrag van applicaties of om gevoelige gegevens te extraheren”, aldus het bedrijf.
Als alternatief blijven bedreigingsactoren zoeken naar inloggegevens, API-sleutels en toegangstokens op servers die aan het internet zijn blootgesteld om de controle over gevoelige systemen over te nemen, en maken ze gebruik van bekende beveiligingsfouten in IoT-apparaten om ze in een botnet te coöpteren. Deze omvatten –
- CVE-2022-22947 – Een kwetsbaarheid voor het uitvoeren van externe code in Spring Cloud Gateway
- CVE-2024-3721 – Een kwetsbaarheid voor commando-injectie in TBK DVR-4104 en DVR-4216
- Een verkeerde configuratie in de MVPower TV-7104HE DVR waardoor niet-geverifieerde gebruikers willekeurige systeemopdrachten kunnen uitvoeren via een HTTP GET-verzoek
De scanactiviteit, zo voegt Qualys toe, is vaak afkomstig van cloudinfrastructuren zoals Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean en Akamai Cloud, wat illustreert hoe bedreigingsactoren legitieme diensten in hun voordeel misbruiken terwijl ze hun ware oorsprong verdoezelen.
“De hedendaagse dreigingsactoren hoeven niet zeer geavanceerd te zijn om effectief te zijn”, aldus het rapport. “Met algemeen beschikbare exploitkits, botnetframeworks en scantools kunnen zelfs beginnende aanvallers aanzienlijke schade aanrichten.”
Om zich tegen de dreiging te beschermen, wordt gebruikers geadviseerd hun apparaten up-to-date te houden, ontwikkelings- en foutopsporingstools in productieomgevingen te verwijderen, geheimen te beveiligen met AWS Secrets Manager of HashiCorp Vault, en de publieke toegang tot de cloudinfrastructuur te beperken.
“Hoewel botnets eerder in verband werden gebracht met grootschalige DDoS-aanvallen en incidentele cryptomining-fraude, zien we in het tijdperk van bedreigingen voor de identiteitsveiligheid dat ze een nieuwe rol op zich nemen in het bedreigingsecosysteem”, zegt James Maude, field CTO bij BeyondTrust.
“Door toegang te hebben tot een uitgebreid netwerk van routers en hun IP-adressen kunnen bedreigingsactoren op grote schaal credential stuffing en wachtwoordspray-aanvallen uitvoeren. Botnets kunnen ook geolocatiecontroles omzeilen door de inloggegevens van een gebruiker te stelen of een browsersessie te kapen en vervolgens een botnetknooppunt in de buurt van de werkelijke locatie van het slachtoffer te gebruiken en misschien zelfs dezelfde ISP te gebruiken als het slachtoffer om ongebruikelijke inlogdetecties of toegangsbeleid te omzeilen.”
De onthulling komt op het moment dat NETSCOUT het DDoS-for-hire-botnet, bekend als AISURU, heeft geclassificeerd als een nieuwe klasse malware genaamd TurboMirai, die DDoS-aanvallen kan lanceren die groter zijn dan 20 terabit per seconde (Tbps). Het botnet bestaat voornamelijk uit breedbandtoegangsrouters voor consumenten, online CCTV- en DVR-systemen en andere klantgerichte apparatuur (CPE).
“Deze botnets bevatten extra speciale DDoS-aanvalsmogelijkheden en multifunctionele functies, waardoor zowel DDoS-aanvallen als andere illegale activiteiten mogelijk zijn, zoals het vullen van gegevens, door kunstmatige intelligentie (AI) aangedreven webscrapen, spammen en phishing”, aldus het bedrijf.
“AISURU omvat een ingebouwde residentiële proxyservice die wordt gebruikt om DDoS-aanvallen op de HTTPS-applicatielaag weer te geven die worden gegenereerd door externe aanvalsharnassen.”
Door gecompromitteerde apparaten om te zetten in een residentiële proxy kunnen betalende klanten hun verkeer via een van de knooppunten in het botnet leiden, wat anonimiteit biedt en de mogelijkheid biedt om op te gaan in reguliere netwerkactiviteit. Volgens de onafhankelijke veiligheidsjournalist Brian Krebs zijn alle grote proxydiensten de afgelopen zes maanden exponentieel gegroeid, daarbij verwijzend naar gegevens van spur.us.
