行业新闻与博客

网络安全研究人员发现，针对 PHP 服务器、物联网 (IoT) 设备和云网关的攻击急剧增加。

Qualys 威胁研究部门（TRU）今天发布的最新报告将此次攻击事件的增加归因于 Mirai、Gafgyt 和 Mozi 等僵尸网络，这些僵尸网络利用已知的 CVE 漏洞和云配置错误来扩大其影响范围。

由于超过 73% 的网站使用 PHP，且 82% 的企业报告的事件与云配置错误有关，数字攻击面持续扩大。这使得运行基于 PHP 的应用程序（例如 WordPress）的服务器对寻求远程代码执行 (RCE) 或数据窃取机会的攻击者来说尤其具有吸引力。

BeyondTrust 的现场首席技术官 James Maude 表示：“路由器和物联网设备长期以来一直是攻击目标，并被入侵以形成越来越大的僵尸网络。”

“大约十年前，我们目睹了 Mirai 僵尸网络的兴起，它最初滥用 60 个默认用户名和密码登录并感染了大量设备。” 

他补充说，虽然历史不会重演，“但在路由器入侵和僵尸网络方面，情况往往惊人地相似。”

当前攻击下的关键漏洞

Qualys 重点指出了目前已被恶意利用的几个漏洞：

• CVE-2022-47945：ThinkPHP 中由于输入清理不当而导致的远程代码执行漏洞

• CVE-2021-3129：Laravel Ignition 的一个调试路由在生产环境中仍处于启用状态。

• CVE-2017-9841：PHPUnit 的一个长期存在的漏洞，暴露了 eval-stdin.php 脚本。

攻击者还会利用不安全的配置，例如启用 XDebug 等调试工具或不当存储的密钥。

Qualys 研究人员注意到，有人频繁尝试从暴露的 Linux 服务器中检索敏感的 Amazon Web Services (AWS) 凭证文件。

物联网和云系统仍然面临风险

物联网设备仍然是一个持续存在的薄弱环节，尤其是那些运行过时固件的设备。该报告提到了 CVE-2024-3721，这是一个 TBK DVR 命令注入漏洞，Mirai 等僵尸网络和类似攻击者利用该漏洞攻击内置后门的 MVPower DVR。

“虽然僵尸网络以前常与大规模 DDoS 攻击和偶尔的加密货币挖矿诈骗联系在一起，但在身份安全威胁日益严峻的时代，我们看到它们在威胁生态系统中扮演着新的角色，”莫德说道。

他解释说，通过访问庞大的被入侵路由器网络，攻击者可以执行大规模的凭证填充和密码喷洒攻击。

云原生环境也面临风险， Spring Cloud Gateway 中的 CVE-2022-22947 允许执行未经身份验证的代码。

Bugcrowd 的首席战略和信任官 Trey Ford 表示：“安全团队曾经对生产数据和系统所在的数据中心拥有绝对控制权。”

“在现代云原生和基础设施即代码时代，开发人员能够比安全团队更快地启动和连接服务及基础设施，从而更快地发现问题。”

福特强调，“及时了解你的攻击面是一项关键能力”，并补充说，“如果你看不到它，无法识别变化，你怎么能防御它呢？”

增强抵御剥削的能力

iCOUNTER 的 GTM 合伙人 Scott Schneider 指出，“基于风险的漏洞管理 (RBVM) 是应对日益增长的漏洞列表的有效方法。” 

他解释说，通过评估资产的关键性、威胁可能性和暴露程度，组织可以“将补救工作集中在那些带来最直接和最严重风险的漏洞上”。

为了减少风险暴露，Qualys 还建议：

• 及时修补软件和框架漏洞

• 禁用生产环境中的开发和调试工具

• 使用托管存储而不是纯文本文件来存储密钥

• 仅允许必要的 IP 地址访问网络

• 监控云访问日志以发现凭证滥用情况

Qualys 的结论是，攻击者不再需要高超的技能就能发起有影响力的攻击。

研究人员表示：“由于漏洞利用工具包和扫描工具广泛可用，即使是入门级攻击者也能造成重大损失。”

该公司敦促各组织采用持续可见性和自动化修复措施，以保护 PHP 服务器、物联网设备和云系统免受持续攻击。