Ataki na serwery PHP osiągają rekordową skalę. Nie ignoruj aktualizacji

W ostatnich tygodniach badacze cyberbezpieczeństwa zaobserwowali wyraźny wzrost liczby zautomatyzowanych ataków wymierzonych w serwery PHP, urządzenia Internetu Rzeczy oraz bramy chmurowe.

Aktywność pochodzi przede wszystkim od botnetów Mirai, Gafgyt i Mozi. Zjawisko nabrało intensywności na tyle szybko, że eksperci mówią o powracającym trendzie znanym sprzed kilku lat, ale prowadzonym dziś na znacznie większą skalę.

Ataki mają charakter w pełni automatyczny. Po zeskanowaniu sieci w poszukiwaniu podatnych systemów botnety próbują przejąć możliwość wykonywania poleceń. Po udanej infekcji zainfekowane urządzenia stają się częścią botnetu, który zaczyna wykorzystywać je do dalszego rozszerzania swojej infrastruktury.

Serwery PHP jako łatwy cel

Szczególną uwagę przestępców przyciągają serwery PHP. Popularność WordPressa, Craft CMS i innych systemów wykorzystujących PHP tworzy ogromny ekosystem rozwiązań, w którym łatwo znaleźć zaniedbane instalacje. Badacze alarmują, że wiele wdrożeń opiera się na przestarzałych wersjach oprogramowania, porzuconych wtyczkach oraz motywach projektów bez wsparcia. W takich środowiskach nawet wieloletnie luki pozostają dostępne do wykorzystania.

Najczęściej używanymi lukami są CVE-2017-9841 w frameworku PHPUnit, CVE-2021-3129 w Laravelu oraz CVE-2022-47945 w ThinkPHP. Wszystkie zostały opisane i załatane lata temu, jednak brak aktualizacji sprawił, że dalej stanowią skuteczny punkt wejścia.

Badacze zwracają uwagę także na nadużycia związane z modułem Xdebug. W wielu żądaniach HTTP pojawia się znacznik /?XDEBUG_SESSION_START=phpstorm, który uruchamia tryb debugowania na docelowej aplikacji. W prawidłowych wdrożeniach Xdebug powinien być wyłączony, lecz w praktyce często pozostaje aktywny.

IoT i bramy chmurowe również zagrożone

Botnety skanują również urządzenia IoT, rejestratory wideo oraz systemy brzegowe działające jako pośrednie punkty dostępu do zasobów firmowych. Wśród najczęściej wykorzystywanych luk wymienia się CVE-2022-22947 w bramach chmurowych Spring, CVE-2024-3721 w rejestratorach TBK DVR oraz podatności w rejestratorach MVPower, które pozwalają wykonywać dowolne polecenia poprzez proste zapytania HTTP.

Wielu operatorów infrastruktury IoT ignoruje aktualizacje, ponieważ zmiana konfiguracji może wymagać przestojów, fizycznego dostępu do urządzeń lub ponownej kalibracji. To otwiera szeroką drogę do przejęć.

Cyberprzestępcą może zostać każdy

Eksperci Qualys zwracają uwagę, że poziom specjalistycznej wiedzy wymagany do przeprowadzenia skutecznego ataku jest dziś znacznie niższy niż dawniej. Publiczne repozytoria udostępniają frameworki do zarządzania botnetami i gotowe zestawy exploitów, które można uruchomić bez zaawansowanej wiedzy programistycznej. Wiele skanów pochodzi z legalnych zasobów usług chmurowych Amazon Web Services, Google Cloud, Microsoft Azure, Digital Ocean i Akamai, co dodatkowo utrudnia śledzenie źródeł operacji.

Zjawisko to komentuje James Maude z BeyondTrust, wskazując, że współczesne botnety przestały kojarzyć się wyłącznie z atakami DDoS i wysyłką spamu. Coraz częściej ich celem są dane uwierzytelniające, klucze API oraz tokeny służące do dalszej penetracji infrastruktury.

Pętla błędów, która trwa latami

Specjaliści podkreślają, że problem wraca w regularnych cyklach, ponieważ podstawowe błędy bezpieczeństwa pozostają nierozwiązane. Nieaktualizowane oprogramowanie, domyślne hasła, błędne konfiguracje serwerów oraz brak regularnych audytów tworzą środowisko, w którym botnety mogą działać niemal bez przeszkód.

Dla wielu firm to moment, w którym trzeba ponownie zadać sobie pytanie, czy bezpieczeństwo cyfrowe jest procesem stałym, czy zadaniem wykonywanym „przy okazji”. Wydarzenia ostatnich tygodni pokazują, że ryzyko rośnie zawsze wtedy, gdy procesy utrzymania infrastruktury są traktowane jako koszt, a nie fundament.