行業新聞與博客

網絡安全研究人員發現，針對 PHP 服務器、物聯網 (IoT) 設備和雲網關的攻擊急劇增加。

Qualys 威脅研究部門（TRU）今天發佈的最新報告將此次攻擊事件的增加歸因於 Mirai、Gafgyt 和 Mozi 等殭屍網絡，這些殭屍網絡利用已知的 CVE 漏洞和雲配置錯誤來擴大其影響範圍。

由於超過 73% 的網站使用 PHP，且 82% 的企業報告的事件與雲配置錯誤有關，數字攻擊面持續擴大。這使得運行基於 PHP 的應用程序（例如 WordPress）的服務器對尋求遠程代碼執行 (RCE) 或數據竊取機會的攻擊者來説尤其具有吸引力。

BeyondTrust 的現場首席技術官 James Maude 表示：“路由器和物聯網設備長期以來一直是攻擊目標，並被入侵以形成越來越大的殭屍網絡。”

“大約十年前，我們目睹了 Mirai 殭屍網絡的興起，它最初濫用 60 個默認用户名和密碼登錄並感染了大量設備。” 

他補充説，雖然歷史不會重演，“但在路由器入侵和殭屍網絡方面，情況往往驚人地相似。”

當前攻擊下的關鍵漏洞

Qualys 重點指出了目前已被惡意利用的幾個漏洞：

• CVE-2022-47945：ThinkPHP 中由於輸入清理不當而導致的遠程代碼執行漏洞

• CVE-2021-3129：Laravel Ignition 的一個調試路由在生產環境中仍處於啓用狀態。

• CVE-2017-9841：PHPUnit 的一個長期存在的漏洞，暴露了 eval-stdin.php 腳本。

攻擊者還會利用不安全的配置，例如啓用 XDebug 等調試工具或不當存儲的密鑰。

Qualys 研究人員注意到，有人頻繁嘗試從暴露的 Linux 服務器中檢索敏感的 Amazon Web Services (AWS) 憑證文件。

物聯網和雲系統仍然面臨風險

物聯網設備仍然是一個持續存在的薄弱環節，尤其是那些運行過時固件的設備。該報告提到了 CVE-2024-3721，這是一個 TBK DVR 命令注入漏洞，Mirai 等殭屍網絡和類似攻擊者利用該漏洞攻擊內置後門的 MVPower DVR。

“雖然殭屍網絡以前常與大規模 DDoS 攻擊和偶爾的加密貨幣挖礦詐騙聯繫在一起，但在身份安全威脅日益嚴峻的時代，我們看到它們在威脅生態系統中扮演着新的角色，”莫德説道。

他解釋説，通過訪問龐大的被入侵路由器網絡，攻擊者可以執行大規模的憑證填充和密碼噴灑攻擊。

雲原生環境也面臨風險， Spring Cloud Gateway 中的 CVE-2022-22947 允許執行未經身份驗證的代碼。

Bugcrowd 的首席戰略和信任官 Trey Ford 表示：“安全團隊曾經對生產數據和系統所在的數據中心擁有絕對控制權。”

“在現代雲原生和基礎設施即代碼時代，開發人員能夠比安全團隊更快地啓動和連接服務及基礎設施，從而更快地發現問題。”

福特強調，“及時瞭解你的攻擊面是一項關鍵能力”，並補充説，“如果你看不到它，無法識別變化，你怎麼能防禦它呢？”

增強抵禦剝削的能力

iCOUNTER 的 GTM 合夥人 Scott Schneider 指出，“基於風險的漏洞管理 (RBVM) 是應對日益增長的漏洞列表的有效方法。” 

他解釋説，通過評估資產的關鍵性、威脅可能性和暴露程度，組織可以“將補救工作集中在那些帶來最直接和最嚴重風險的漏洞上”。

為了減少風險暴露，Qualys 還建議：

• 及時修補軟件和框架漏洞

• 禁用生產環境中的開發和調試工具

• 使用託管存儲而不是純文本文件來存儲密鑰

• 僅允許必要的 IP 地址訪問網絡

• 監控雲訪問日誌以發現憑證濫用情況

Qualys 的結論是，攻擊者不再需要高超的技能就能發起有影響力的攻擊。

研究人員表示：“由於漏洞利用工具包和掃描工具廣泛可用，即使是入門級攻擊者也能造成重大損失。”

該公司敦促各組織採用持續可見性和自動化修復措施，以保護 PHP 服務器、物聯網設備和雲系統免受持續攻擊。