Các nhà nghiên cứu an ninh mạng đang cảnh báo về sự gia tăng đột biến các cuộc tấn công tự động nhắm vào máy chủ PHP, thiết bị IoT và cổng đám mây bởi nhiều botnet khác nhau như Mirai, Gafgyt, và Mozi.
"Các chiến dịch tự động này khai thác các lỗ hổng CVE đã biết và các cấu hình đám mây sai để giành quyền kiểm soát các hệ thống lộ thiên và mở rộng mạng lưới botnet," Đơn vị Nghiên cứu Mối đe dọa (TRU) của Qualys cho biết trong một báo cáo chia sẻ với The Hacker News.
Công ty an ninh mạng này cho biết các máy chủ PHP đã trở thành mục tiêu nổi bật nhất của những cuộc tấn công này do việc sử dụng rộng rãi các hệ thống quản lý nội dung như WordPress và Craft CMS. Điều này, đến lượt nó, tạo ra một bề mặt tấn công lớn vì nhiều triển khai PHP có thể gặp phải các cấu hình sai (misconfigurations), plugin và theme lỗi thời, cũng như lưu trữ tệp không an toàn.
Các điểm yếu nổi bật trong framework PHP bị khai thác
- CVE-2017-9841 - Một lỗ hổng Remote code execution trong PHPUnit
- CVE-2021-3129 - Một lỗ hổng Remote code execution trong Laravel
- CVE-2022-47945 - Một lỗ hổng Remote code execution trong ThinkPHP Framework
Qualys cho biết họ cũng đã quan sát thấy các nỗ lực khai thác liên quan đến việc sử dụng chuỗi truy vấn "/?XDEBUG_SESSION_START=phpstorm" trong các yêu cầu HTTP GET để khởi tạo phiên gỡ lỗi Xdebug với một môi trường phát triển tích hợp (IDE) như PhpStorm.
"Nếu Xdebug vô tình bị để lại hoạt động trong môi trường sản xuất, kẻ tấn công có thể sử dụng các phiên này để nắm được thông tin chi tiết về hành vi ứng dụng hoặc trích xuất dữ liệu nhạy cảm," công ty cho biết.
Khai thác thiết bị IoT và cổng đám mây
Ngoài ra, các tác nhân đe dọa tiếp tục tìm kiếm thông tin đăng nhập (credentials), API keys và access tokens trong các máy chủ lộ thiên trên internet để giành quyền kiểm soát các hệ thống dễ bị tấn công, cũng như tận dụng các lỗ hổng bảo mật đã biết trong các thiết bị IoT để đưa chúng vào botnet. Các lỗ hổng này bao gồm:
- CVE-2022-22947 - Một lỗ hổng Remote code execution trong Spring Cloud Gateway
- CVE-2024-3721 - Một lỗ hổng Command injection trong TBK DVR-4104 và DVR-4216
- Một cấu hình sai (misconfiguration) trong MVPower TV-7104HE DVR cho phép người dùng không xác thực thực thi các lệnh hệ thống tùy ý thông qua yêu cầu HTTP GET
Qualys cho biết thêm, hoạt động quét thường bắt nguồn từ các cơ sở hạ tầng đám mây như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean và Akamai Cloud, minh họa cách các tác nhân đe dọa đang lạm dụng các dịch vụ hợp pháp để trục lợi trong khi che giấu nguồn gốc thực sự của chúng.
"Các tác nhân đe dọa ngày nay không cần phải quá tinh vi để hiệu quả," báo cáo lưu ý. "Với các bộ công cụ khai thác (exploit kits), framework botnet và công cụ quét có sẵn rộng rãi, ngay cả những kẻ tấn công cấp độ cơ bản cũng có thể gây ra thiệt hại đáng kể."
Biện pháp phòng ngừa
Để tự bảo vệ khỏi mối đe dọa này, người dùng nên cập nhật thiết bị của mình, loại bỏ các công cụ phát triển và gỡ lỗi trong môi trường sản xuất, bảo mật các bí mật (secrets) bằng AWS Secrets Manager hoặc HashiCorp Vault, và hạn chế quyền truy cập công cộng vào cơ sở hạ tầng đám mây.
"Trong khi các botnet trước đây thường được liên kết với các cuộc tấn công DDoS quy mô lớn và đôi khi là các vụ lừa đảo khai thác tiền điện tử (crypto mining scams), trong thời đại các mối đe dọa an ninh danh tính, chúng tôi thấy chúng đang đảm nhận một vai trò mới trong hệ sinh thái đe dọa," James Maude, CTO thực địa tại BeyondTrust, cho biết.
"Việc có quyền truy cập vào một mạng lưới rộng lớn các router và địa chỉ IP của chúng có thể cho phép các tác nhân đe dọa thực hiện các cuộc tấn công credential stuffing và password spray trên quy mô lớn. Botnet cũng có thể né tránh các kiểm soát định vị địa lý bằng cách đánh cắp thông tin đăng nhập của người dùng hoặc chiếm đoạt phiên trình duyệt và sau đó sử dụng một node botnet gần với vị trí thực của nạn nhân và thậm chí có thể sử dụng cùng một ISP với nạn nhân để né tránh các phát hiện đăng nhập bất thường hoặc các chính sách truy cập."
Botnet AISURU và TurboMirai: Những phát triển mới
Thông tin tiết lộ này được đưa ra khi NETSCOUT phân loại botnet DDoS-for-hire được gọi là AISURU là một loại phần mềm độc hại mới có tên TurboMirai có thể khởi chạy các cuộc tấn công DDoS vượt quá 20 terabits mỗi giây (Tbps). Botnet này chủ yếu bao gồm các router truy cập băng thông rộng cấp tiêu dùng, hệ thống CCTV và DVR trực tuyến, và các thiết bị tiền đề khách hàng (CPE) khác.
"Những botnet này tích hợp thêm các khả năng tấn công DDoS chuyên dụng và các chức năng đa dụng, cho phép cả tấn công DDoS và các hoạt động bất hợp pháp khác như credential stuffing, thu thập dữ liệu web (web scraping) bằng AI, gửi thư rác (spamming) và lừa đảo (phishing)," công ty cho biết.
"AISURU bao gồm một dịch vụ proxy dân cư (residential proxy) tích hợp được sử dụng để phản ánh các cuộc tấn công DDoS lớp ứng dụng HTTPS được tạo ra bởi các hệ thống tấn công bên ngoài."
Việc biến các thiết bị bị xâm nhập thành một residential proxy cho phép khách hàng trả tiền định tuyến lưu lượng truy cập của họ thông qua một trong các node trong botnet, cung cấp tính ẩn danh và khả năng hòa mình vào hoạt động mạng thông thường. Theo nhà báo an ninh độc lập Brian Krebs, tất cả các dịch vụ proxy lớn đã tăng trưởng theo cấp số nhân trong sáu tháng qua, trích dẫn dữ liệu từ spur.us.
