Servidores PHP e dispositivos IoT enfrentam riscos crescentes

Servidores PHP e dispositivos IoT enfrentam riscos crescentes de ataques cibernéticos

Um aumento acentuado nos ataques direcionados a servidores PHP, dispositivos de internet das coisas (IoT) e gateways de nuvem foi identificado por pesquisadores de segurança cibernética.

O último relatório da Qualys Threat Research Unit (TRU), publicado hoje, atribui o surgimento a botnets como Mirai, Gafgyt e Mozi, que estão explorando CVEs conhecidos e configurações incorretas de nuvem para expandir seu alcance.

Com o PHP alimentando mais de 73% dos sites e 82% das empresas relatando incidentes vinculados a configurações incorretas na nuvem, a superfície de ataque digital continua a crescer. Isso faz com que os servidores executem aplicativos baseados em PHP, como WordPress, especialmente atraente para invasores que buscam oportunidades de execução remota de código (RCE) ou roubo de dados.

“Roteadores e dispositivos IoT há muito são alvos e comprometidos para formar botnets cada vez maiores”, disse James Maude, CTO de campo da BeyondTrust.

“Há quase uma década, vimos a ascensão do Rede de bots Mirai, que inicialmente abusou de 60 nomes de usuário e senhas padrão para fazer login e infectar um grande número de dispositivos.” 

Ele acrescentou que, embora a história não se repita, “ela geralmente rima quando se trata de comprometimento de roteadores e botnets”

Principais vulnerabilidades sob ataque ativo

Qualys destacou diversas vulnerabilidades atualmente exploradas na natureza:

• CVE-2022-47945: Uma falha RCE no ThinkPHP devido à higienização inadequada da entrada
• CVE-2021-3129: Uma rota de depuração do Laravel Ignition deixada ativa na produção
• CVE-2017-9841: Uma falha de longa data do PHPUnit expondo o script eval-stdin.php

Os invasores também exploram configurações inseguras, como ferramentas de depuração ativas como o XDebug ou segredos armazenados incorretamente.

Pesquisadores da Qualys notaram tentativas frequentes de recuperar arquivos de credenciais confidenciais da Amazon Web Services (AWS) de servidores Linux expostos.

IoT e sistemas de nuvem permanecem expostos

Os dispositivos IoT continuam sendo um elo fraco persistente, especialmente aqueles que executam firmware desatualizado. O relatório cita o CVE-2024-3721, uma falha de injeção de comando do TBK DVR explorada por botnets semelhantes ao Mirai e ataques semelhantes direcionados a DVRs MVPower com backdoors integrados.

“Embora as botnets já tenham sido associadas a ataques DDoS em larga escala e golpes ocasionais de mineração de criptomoedas, na era das ameaças à segurança de identidade, vemos que elas assumem um novo papel no ecossistema de ameaças”, disse Maude.

Ele explicou que o acesso a vastas redes de roteadores comprometidos permite que invasores realizem campanhas de preenchimento de credenciais e pulverização de senhas em larga escala.

Ambientes nativos da nuvem também estão em risco, com CVE-2022-22947 no Spring Cloud Gateway permitindo execução de código não autenticado.

“As equipes de segurança já tiveram controle positivo dos data centers onde viviam os dados e sistemas de produção”, disse Trey Ford, diretor de estratégia e confiança da Bugcrowd.

“Na era da infraestrutura nativa da nuvem moderna e da infraestrutura como código, os desenvolvedores têm a capacidade de iluminar e conectar serviços e infraestrutura mais rapidamente do que as equipes de segurança conseguem identificá-los.”

Ford enfatizou que “manter-se atualizado com sua superfície de ataque é uma capacidade crítica do caminho,” acrescentando, “se você não consegue vê-la, não consegue identificar mudanças, como você pode defendê-la?”

Construindo resiliência contra a exploração

Scott Schneider, sócio GTM da iCOUNTER, observou que “o gerenciamento de vulnerabilidades baseado em risco (RBVM) é um método eficaz para lidar com uma lista cada vez maior de vulnerabilidades.” 

Ao avaliar a criticidade dos ativos, a probabilidade de ameaças e a exposição, as organizações podem “concentrar seus esforços de remediação nas vulnerabilidades que apresentam os riscos mais imediatos e sérios”, explicou ele.

Para reduzir a exposição, a Qualys também recomendou:

• Aplicação oportuna de patches em software e frameworks
• Desabilitando ferramentas de desenvolvimento e depuração na produção
• Usando armazenamentos gerenciados para segredos em vez de arquivos de texto simples
• Restringir o acesso à rede apenas a IPs essenciais
• Monitoramento de logs de acesso à nuvem para uso indevido de credenciais

Qualys concluiu que os atacantes não precisam mais de habilidades avançadas para lançar ataques impactantes.

“Com kits de exploração e ferramentas de digitalização amplamente disponíveis, até mesmo atores iniciantes podem causar danos significativos”, disseram os pesquisadores.

A empresa instou as organizações a adotarem visibilidade contínua e remediação automatizada para defender servidores PHP, dispositivos IoT e sistemas em nuvem da exploração contínua.

Fonte: InfoSecurity Magazine

Veja também:

• Interrupção do Microsoft Azure atinge o mundo todo
• Alertas da CISA sobre exploração ativa da vulnerabilidade WSUS
• Malware DCRat se disfarça de Adobe para roubar dados e enganar usuários
• Alerta sobre segurança de integrações e credenciais
• O vazamento de dados pessoais e a configuração de dano moral
• Ataques de ransomware crescem no Brasil
• Febraban abre curso gratuito de cibersegurança
• Seu robô aspirador pode ser a porta de entrada para um ataque milionário
• Formações gratuitas sobre segurança digital para educadores em Campinas e Sumaré 
• Cinco falhas cotidianas que abrem caminho para ataques cibernéticos
• A saúde como alvo estratégico de ataques cibernéticos
• Funcionários colam regularmente segredos da empresa no ChatGPT