«Дыра» 2017 года и пароль «admin». Ботнеты Mirai и Gafgyt взламывают облака, PHP-серверы и IoT-устройства

Резкий рост атак на серверы PHP, устройства интернета вещей и облачные шлюзы зафиксировали специалисты из Qualys Threat Research Unit (TRU). По их данным, всплеск активности связан с ботнетами Mirai, Gafgyt и Mozi, которые используют известные уязвимости и ошибки конфигурации в облачных средах для быстрого расширения своих сетей.

PHP остаётся одним из самых уязвимых компонентов интернета — на нём работают свыше 73% сайтов, а более 80% компаний признают, что сталкивались с инцидентами, вызванными неправильной настройкой облачных инфраструктур. Это делает серверы с PHP-приложениями, включая WordPress, удобной целью для атак, направленных на удалённое выполнение кода и кражу данных.

Исследователи напоминают, что злоумышленники традиционно используют маршрутизаторы и IoT-устройства для построения ботнетов. Mirai, появившийся почти 10 лет назад, заражал миллионы устройств, применяя всего около 60 стандартных логинов и паролей. Сегодня та же схема возвращается в новом виде: ботнеты используют современные уязвимости и слабые места в облачных системах.

Среди активно эксплуатируемых уязвимостей Qualys выделяет несколько критических: CVE-2022-47945 — удалённое выполнение кода в ThinkPHP из-за некорректной фильтрации пользовательского ввода; CVE-2021-3129 — включённый отладочный маршрут Laravel Ignition в продуктивной среде; CVE-2017-9841 — старая ошибка в PHPUnit, открывающая доступ к скрипту eval-stdin.php.

Кроме того, злоумышленники активно пользуются небрежной настройкой окружения — оставленными отладчиками вроде XDebug или незашифрованными секретами. Зафиксированы многочисленные попытки получить файлы с AWS-учётными данными на открытых Linux-серверах.

Отдельно подчёркивается, что устройства интернета вещей остаются слабым звеном из-за устаревшей прошивки. В отчёте упомянута уязвимость CVE-2024-3721 — ошибка командной инъекции в TBK DVR, уже используемая Mirai-подобными ботнетами. Аналогичные проблемы обнаружены и в MVPower DVR, где встроенные бэкдоры позволяют удалённое управление.

Если раньше ботнеты применялись преимущественно для DDoS-атак и скрытого майнинга, то теперь они используются и для массовых атак на учётные данные — подборов паролей и кампаний по компрометации идентификаций.

Опасности не ограничиваются IoT-сегментом: уязвимость CVE-2022-22947 в Spring Cloud Gateway позволяет выполнять произвольный код без аутентификации, что угрожает облачным системам. При этом разработчики часто создают и соединяют сервисы быстрее, чем службы безопасности успевают их зафиксировать, что ведёт к новым точкам входа для атакующих.

Специалисты советуют компаниям применять риск-ориентированный подход к управлению уязвимостями: учитывать важность активов, вероятность эксплуатации и степень воздействия, чтобы устранять в первую очередь действительно опасные дыры. Среди базовых рекомендаций Qualys — своевременное обновление компонентов, отключение отладочных инструментов в продакшене, хранение секретов в защищённых хранилищах, ограничение сетевого доступа и контроль облачных логов на предмет злоупотреблений.

TRU отмечает, что для нанесения ущерба сегодня не требуется высокий уровень навыков — эксплойты и сканеры доступны в открытом доступе, и даже начинающие атакующие способны вызвать значительные перебои. Поэтому компания призывает внедрять постоянный мониторинг и автоматизированное устранение уязвимостей, чтобы защитить PHP-серверы, IoT-оборудование и облачную инфраструктуру от продолжающихся атак.