Pesquisadores em cibersegurança alertam para o aumento de ataques automatizados que têm como alvo servidores PHP, dispositivos IoT e gateways na nuvem, realizados por botnets como Mirai, Gafgyt e Mozi.
De acordo com a Qualys Threat Research Unit (TRU), essas campanhas exploram vulnerabilidades conhecidas — por meio de CVEs — e falhas de configuração em ambientes de cloud para assumir o controle de sistemas expostos, expandindo as redes de botnets.
Os servidores PHP se destacam como os principais alvos devido à ampla adoção de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS.
Essa popularidade gera uma superfície de ataque extensa, especialmente porque muitas implementações PHP apresentam más configurações, plugins e temas desatualizados, além de armazenamento inseguro de arquivos.
Entre as principais vulnerabilidades exploradas em frameworks PHP estão:
-
CVE-2017-9841
: execução remota de código no PHPUnit
-
CVE-2021-3129
: execução remota de código no Laravel
-
CVE-2022-47945
: execução remota de código no ThinkPHP Framework
A Qualys também identificou tentativas de exploração utilizando a query string "/?XDEBUG_SESSION_START=phpstorm" em requisições HTTP GET, com o objetivo de iniciar sessões de depuração Xdebug em IDEs como PhpStorm.
Caso o Xdebug esteja ativado inadvertidamente em ambientes de produção, atacantes podem se valer dessa funcionalidade para analisar o comportamento da aplicação ou extrair dados sensíveis.
Além disso, os atores maliciosos continuam buscando credenciais, chaves de API e tokens de acesso em servidores expostos à internet, a fim de assumir o controle dos sistemas vulneráveis.
Também exploram falhas conhecidas em dispositivos IoT para integrá-los às redes de botnets.
Entre essas vulnerabilidades estão:
-
CVE-2022-22947
: execução remota de código no Spring Cloud Gateway
-
CVE-2024-3721
: injeção de comandos nos DVRs TBK modelos 4104 e 4216
- Má configuração no DVR MVPower TV-7104HE que permite execução arbitrária de comandos via requisição HTTP GET sem autenticação
As sondagens geralmente partem de infraestruturas em nuvem, como Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean e Akamai Cloud.
Isso demonstra como os atacantes abusam de serviços legítimos para ocultar sua verdadeira origem.
Segundo a Qualys, “os atacantes atuais não precisam ser altamente sofisticados para causar estragos”.
Com diversos exploit kits, frameworks de botnets e ferramentas de scanning disponíveis, até mesmo iniciantes podem causar danos significativos.
Para se proteger, recomenda-se manter os dispositivos atualizados, remover ferramentas de desenvolvimento e depuração em ambientes de produção, proteger segredos com serviços como AWS Secrets Manager ou HashiCorp Vault, além de restringir o acesso público à infraestrutura na nuvem.
James Maude, CTO de campo da BeyondTrust, reforça a mudança no papel dos botnets: “Antes associados principalmente a ataques DDoS em larga escala e golpes ocasionais de mineração de criptomoedas, hoje esses botnets desempenham um papel novo no ecossistema de ameaças à segurança de identidades.
Ter acesso a uma vasta rede de roteadores e IPs permite ataques em grande escala de credential stuffing e password spraying.
Além disso, botnets podem burlar controles de geolocalização roubando credenciais ou sequestrando sessões de navegador, usando nós próximos à localização real da vítima — inclusive com o mesmo ISP — para driblar detecções de acessos incomuns e políticas de segurança.”
Essa divulgação acontece logo após a NETSCOUT classificar o botnet de DDoS-for-hire AISURU como uma nova classe de malware chamada TurboMirai, capaz de lançar ataques DDoS que ultrapassam 20 terabits por segundo (Tbps).
Esse botnet é formado por roteadores domésticos de banda larga, sistemas CCTV, DVRs e outros equipamentos instalados em residências e empresas.
Segundo a NETSCOUT, “esses botnets incorporam capacidades dedicadas a ataques DDoS, além de funções multiuso, possibilitando tanto ataques DDoS quanto atividades ilícitas como credential stuffing, web scraping alimentado por inteligência artificial (AI), spamming e phishing.”
O AISURU também conta com um serviço interno de proxy residencial usado para refletir ataques DDoS na camada de aplicação HTTPS, gerados por ferramentas externas.
Transformar dispositivos comprometidos em proxies residenciais permite que clientes pagantes encaminhem seu tráfego através dos nós do botnet, ganhando anonimato e evitando distinções em meio ao tráfego comum.
Brian Krebs, jornalista independente de segurança, relata crescimento exponencial nos principais serviços de proxy nos últimos seis meses, citando dados do spur.us.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...