行業新聞與部落格

網路安全研究人員發現，針對 PHP 伺服器、物聯網 (IoT) 裝置和雲網關的攻擊急劇增加。

Qualys 威脅研究部門（TRU）今天釋出的最新報告將此次攻擊事件的增加歸因於 Mirai、Gafgyt 和 Mozi 等殭屍網路，這些殭屍網路利用已知的 CVE 漏洞和雲配置錯誤來擴大其影響範圍。

由於超過 73% 的網站使用 PHP，且 82% 的企業報告的事件與雲配置錯誤有關，數字攻擊面持續擴大。這使得執行基於 PHP 的應用程式（例如 WordPress）的伺服器對尋求遠端程式碼執行 (RCE) 或資料竊取機會的攻擊者來說尤其具有吸引力。

BeyondTrust 的現場首席技術官 James Maude 表示：“路由器和物聯網裝置長期以來一直是攻擊目標，並被入侵以形成越來越大的殭屍網路。”

“大約十年前，我們目睹了 Mirai 殭屍網路的興起，它最初濫用 60 個預設使用者名稱和密碼登入並感染了大量裝置。” 

他補充說，雖然歷史不會重演，“但在路由器入侵和殭屍網路方面，情況往往驚人地相似。”

當前攻擊下的關鍵漏洞

Qualys 重點指出了目前已被惡意利用的幾個漏洞：

• CVE-2022-47945：ThinkPHP 中由於輸入清理不當而導致的遠端程式碼執行漏洞

• CVE-2021-3129：Laravel Ignition 的一個除錯路由在生產環境中仍處於啟用狀態。

• CVE-2017-9841：PHPUnit 的一個長期存在的漏洞，暴露了 eval-stdin.php 指令碼。

攻擊者還會利用不安全的配置，例如啟用 XDebug 等除錯工具或不當儲存的金鑰。

Qualys 研究人員注意到，有人頻繁嘗試從暴露的 Linux 伺服器中檢索敏感的 Amazon Web Services (AWS) 憑證檔案。

物聯網和雲系統仍然面臨風險

物聯網裝置仍然是一個持續存在的薄弱環節，尤其是那些執行過時韌體的裝置。該報告提到了 CVE-2024-3721，這是一個 TBK DVR 命令注入漏洞，Mirai 等殭屍網路和類似攻擊者利用該漏洞攻擊內建後門的 MVPower DVR。

“雖然殭屍網路以前常與大規模 DDoS 攻擊和偶爾的加密貨幣挖礦詐騙聯絡在一起，但在身份安全威脅日益嚴峻的時代，我們看到它們在威脅生態系統中扮演著新的角色，”莫德說道。

他解釋說，透過訪問龐大的被入侵路由器網路，攻擊者可以執行大規模的憑證填充和密碼噴灑攻擊。

雲原生環境也面臨風險， Spring Cloud Gateway 中的 CVE-2022-22947 允許執行未經身份驗證的程式碼。

Bugcrowd 的首席戰略和信任官 Trey Ford 表示：“安全團隊曾經對生產資料和系統所在的資料中心擁有絕對控制權。”

“在現代雲原生和基礎設施即程式碼時代，開發人員能夠比安全團隊更快地啟動和連線服務及基礎設施，從而更快地發現問題。”

福特強調，“及時瞭解你的攻擊面是一項關鍵能力”，並補充說，“如果你看不到它，無法識別變化，你怎麼能防禦它呢？”

增強抵禦剝削的能力

iCOUNTER 的 GTM 合夥人 Scott Schneider 指出，“基於風險的漏洞管理 (RBVM) 是應對日益增長的漏洞列表的有效方法。” 

他解釋說，透過評估資產的關鍵性、威脅可能性和暴露程度，組織可以“將補救工作集中在那些帶來最直接和最嚴重風險的漏洞上”。

為了減少風險暴露，Qualys 還建議：

• 及時修補軟體和框架漏洞

• 禁用生產環境中的開發和除錯工具

• 使用託管儲存而不是純文字檔案來儲存金鑰

• 僅允許必要的 IP 地址訪問網路

• 監控雲訪問日誌以發現憑證濫用情況

Qualys 的結論是，攻擊者不再需要高超的技能就能發起有影響力的攻擊。

研究人員表示：“由於漏洞利用工具包和掃描工具廣泛可用，即使是入門級攻擊者也能造成重大損失。”

該公司敦促各組織採用持續可見性和自動化修復措施，以保護 PHP 伺服器、物聯網裝置和雲系統免受持續攻擊。