Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Експертите пријавуваат остар пораст на автоматизирани ботнет напади насочени кон PHP сервери и IoT уреди

Објавено: 30.10.2025

Истражувачите за сајбер безбедност предупредуваат на зголемување на автоматизирани напади насочени кон PHP сервери, IoT уреди и cloud gateway-ја од различни ботнети како Mirai, Gafgyt и Mozi.

„Овие автоматизирани кампањи ги искористуваат познатите CVE ранливости и cloud конфигурациски грешки за да преземат контрола над изложените системи и да ги прошируваат ботнет мрежите,“ изјави Qualys Threat Research Unit (TRU) во извештај споделен со The Hacker News.

Компанијата за сајбер безбедност истакна дека PHP серверите се најчести цели на овие напади поради широко распространетата употреба на системи за управување со содржина како WordPress и Craft CMS. Ова создава голема површина за напад бидејќи многу PHP инсталации можат да страдаат од конфигурациски грешки, застарени додатоци и теми, како и несигурно складирање на фајлови.

Некои од најзначајните слабости во PHP фрејмворците кои се искористени од напаѓачите се наведени подолу:

  • CVE-2017-9841 – ранливост за далечно извршување на код во PHPUnit
  • CVE-2021-3129 – ранливост за далечно извршување на код во Laravel
  • CVE-2022-47945 – ранливост за далечно извршување на код во ThinkPHP Framework

Qualys исто така забележа обиди за искористување со користење на низата „/?XDEBUG_SESSION_START=phpstorm“ во HTTP GET барања за иницирање на Xdebug дебаг сесија со интегрирана развојна средина (IDE) како PhpStorm.

„Ако Xdebug ненамерно остане активен во продукциски средини, напаѓачите можат да ги користат овие сесии за да добијат увид во работењето на апликацијата или да извлечат чувствителни податоци,“ изјави компанијата.

Дополнително, напаѓачите продолжуваат да бараат кориснички креденцијали, API клучеви и пристапни токени на интернет-изложени сервери за да преземат контрола над ранливите системи, како и да ги искористат познатите безбедносни слабости во IoT уредите за да ги вклучат во ботнет. Тука спаѓаат:

  • CVE-2022-22947 – ранливост за далечно извршување на код во Spring Cloud Gateway
  • CVE-2024-3721 – ранливост за инјектирање на команди во TBK DVR-4104 и DVR-4216
  • Конфигурациска грешка во MVPower TV-7104HE DVR која им овозможува на неавтентификувани корисници да извршуваат произволни системски команди преку HTTP GET барање

Qualys додаде дека активностите на скенирање често потекнуваат од cloud инфраструктури како Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean и Akamai Cloud, што ја илустрира злоупотребата на легитимни услуги за прикривање на вистинската локација на напаѓачите.

„Современите напаѓачи не мора да бидат високо софистицирани за да бидат ефективни,“ се наведува во извештајот. „Со широко достапни exploit кити, ботнет фрејмворци и алатки за скенирање, дури и почетници можат да предизвикаат значителна штета.“

За заштита од заканата, се советува корисниците да ги одржуваат своите уреди ажурирани, да ги отстранат алатките за развој и дебагирање во продукциските средини, да ги заштитат доверливите информации со AWS Secrets Manager или HashiCorp Vault, и да го ограничат јавниот пристап до cloud инфраструктурата.

„Иако ботнетите претходно беа поврзани со големи DDoS напади и повремени крипто-минирања, во ерата на заканите за безбедност на идентитетот, гледаме дека тие преземаат нова улога во екосистемот на закани,“ изјави James Maude, CTO на терен во BeyondTrust.

„Присуството на обемна мрежа на рутери и нивни IP адреси им овозможува на напаѓачите да извршуваат credential stuffing и password spray напади во голема мера. Ботнетите исто така можат да избегнуваат геолокациски контроли со кражба на кориснички креденцијали или хакирање на браузер сесија, користејќи ботнет јазол блиску до вистинската локација на жртвата и можеби дури и истиот ISP за да избегнат детекција на необични логини или пристапни политики.“

Ова откритие доаѓа откако NETSCOUT го класифицира DDoS-for-hire ботнетот познат како AISURU како нова класа на малициозен софтвер наречен TurboMirai, кој може да изведува DDoS напади поголеми од 20 терабити во секунда (Tbps). Ботнетот главно се состои од рутери за широкопојасен пристап за потрошувачи, онлајн CCTV и DVR системи и друга опрема во клиентски објекти (CPE).

„Овие ботнети вклучуваат дополнителни посветени DDoS функции и мултифункционални способности, овозможувајќи DDoS напади и други илегални активности како credential stuffing, AI-движење веб-скрејпинг, спам и фишинг,“ изјави компанијата.

„AISURU вклучува вграден residential proxy сервис кој се користи за рефлектирање на HTTPS application-layer DDoS напади генерирани од надворешни напаѓачки алатки.“

Претворањето на компромитирани уреди во residential proxy овозможува на плаќачите да го насочат својот сообраќај преку еден од јазлите на ботнетот, обезбедувајќи анонимност и можност за мешање со редовната мрежна активност. Според независниот безбедносен новинар Brian Krebs, сите големи proxy сервиси забележале експоненцијален раст во последните шест месеци, повикувајќи се на податоци од spur.us.

Извори:

  • The Hacker News – „Experts Reports Sharp Increase in Automated Botnet Attacks Targeting PHP Servers and IoT Devices“ The Hacker News