يشير الخبراء إلى زيادة حادة في هجمات الروبوتات الآلية التي تستهدف خوادم PHP وأجهزة إنترنت الأشياء
يلفت الباحثون في مجال الأمن السيبراني الانتباه إلى الارتفاع الكبير في الهجمات الآلية التي تستهدف خوادم PHP وأجهزة إنترنت الأشياء والبوابات السحابية بواسطة شبكات الروبوت المختلفة مثل Mirai وGafgyt وMozi.
وقالت وحدة أبحاث التهديدات في Qualys (TRU) في تقرير تمت مشاركته مع The Hacker News: “تستغل هذه الحملات الآلية نقاط الضعف المعروفة في مجال مكافحة التطرف العنيف والتكوينات السحابية الخاطئة للسيطرة على الأنظمة المكشوفة وتوسيع شبكات الروبوتات”.
وقالت شركة الأمن السيبراني إن خوادم PHP برزت كأبرز الأهداف لهذه الهجمات بسبب الاستخدام الواسع النطاق لأنظمة إدارة المحتوى مثل WordPress وCraft CMS. يؤدي هذا بدوره إلى إنشاء سطح هجوم كبير حيث يمكن أن تعاني العديد من عمليات نشر PHP من التكوينات الخاطئة والمكونات الإضافية والموضوعات القديمة وتخزين الملفات غير الآمن.
بعض نقاط الضعف البارزة في أطر عمل PHP والتي تم استغلالها من قبل جهات التهديد مذكورة أدناه –
- CVE-2017-9841 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في PHPUnit
- CVE-2021-3129 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Laravel
- CVE-2022-47945 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في ThinkPHP Framework
قالت Qualys إنها لاحظت أيضًا جهود الاستغلال التي تتضمن استخدام سلسلة استعلام “/?XDEBUG_SESSION_START=phpstorm” في طلبات HTTP GET لبدء عملية جلسة تصحيح الأخطاء Xdebug مع بيئة تطوير متكاملة (IDE) مثل PhpStorm.
وقالت الشركة: “إذا تم ترك Xdebug نشطًا عن غير قصد في بيئات الإنتاج، فقد يستخدم المهاجمون هذه الجلسات للحصول على نظرة ثاقبة لسلوك التطبيق أو استخراج البيانات الحساسة”.
وبدلاً من ذلك، تواصل الجهات الفاعلة في مجال التهديد البحث عن بيانات الاعتماد ومفاتيح واجهة برمجة التطبيقات (API) ورموز الوصول في الخوادم المعرضة للإنترنت للتحكم في الأنظمة الحساسة، بالإضافة إلى الاستفادة من العيوب الأمنية المعروفة في أجهزة إنترنت الأشياء لضمها إلى شبكة الروبوتات. وتشمل هذه –
- CVE-2022-22947 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Spring Cloud Gateway
- CVE-2024-3721 – ثغرة أمنية في حقن الأوامر في TBK DVR-4104 وDVR-4216
- تكوين خاطئ في MVPower TV-7104HE DVR يسمح للمستخدمين غير المصادقين بتنفيذ أوامر نظام عشوائية عبر طلب HTTP GET
وأضاف كواليس أن نشاط المسح غالبًا ما ينشأ من البنى التحتية السحابية مثل Amazon Web Services (AWS) وGoogle Cloud وMicrosoft Azure وDigital Ocean وAkamai Cloud، مما يوضح كيف تسيء الجهات الفاعلة في مجال التهديد الخدمات المشروعة لصالحها مع إخفاء أصولها الحقيقية.
وأشار التقرير إلى أن “الجهات الفاعلة في مجال التهديد اليوم لا تحتاج إلى أن تكون متطورة للغاية لتكون فعالة”. “بفضل مجموعات الاستغلال المتاحة على نطاق واسع، وأطر عمل الروبوتات، وأدوات الفحص، يمكن حتى للمهاجمين المبتدئين أن يتسببوا في أضرار جسيمة.”
للحماية من التهديد، يُنصح المستخدمون بإبقاء أجهزتهم محدثة، وإزالة أدوات التطوير والتصحيح في بيئات الإنتاج، وتأمين الأسرار باستخدام AWS Secrets Manager أو HashiCorp Vault، وتقييد الوصول العام إلى البنية التحتية السحابية.
وقال جيمس مود، المدير التنفيذي للتكنولوجيا الميداني في BeyondTrust: “على الرغم من أن شبكات الروبوتات كانت مرتبطة سابقًا بهجمات DDoS واسعة النطاق وعمليات احتيال تعدين العملات المشفرة العرضية، إلا أننا في عصر تهديدات أمن الهوية، نراها تأخذ دورًا جديدًا في النظام البيئي للتهديدات”.
“إن الوصول إلى شبكة واسعة من أجهزة التوجيه وعناوين IP الخاصة بها يمكن أن يسمح للجهات الفاعلة في مجال التهديد بتنفيذ هجمات حشو بيانات الاعتماد ورش كلمات المرور على نطاق واسع. يمكن لشبكات الروبوتات أيضًا تجنب عناصر التحكم في تحديد الموقع الجغرافي عن طريق سرقة بيانات اعتماد المستخدم أو اختطاف جلسة متصفح ثم استخدام عقدة الروبوتات القريبة من الموقع الفعلي للضحية وربما حتى استخدام نفس مزود خدمة الإنترنت مثل الضحية لتجنب اكتشافات تسجيل الدخول غير العادية أو سياسات الوصول.”
ويأتي هذا الكشف في الوقت الذي صنفت فيه NETSCOUT شبكة الروبوتات DDoS مقابل الاستئجار المعروفة باسم AISURU كفئة جديدة من البرامج الضارة التي يطلق عليها اسم TurboMirai والتي يمكنها شن هجمات DDoS تتجاوز 20 تيرابايت في الثانية (Tbps). تشتمل شبكة الروبوتات في المقام الأول على أجهزة توجيه ذات نطاق عريض للمستهلكين، وأنظمة CCTV وDVR عبر الإنترنت، وغيرها من معدات مقر العملاء (CPE).
“تتضمن شبكات الروبوت هذه إمكانات إضافية مخصصة لهجوم DDoS ووظائف متعددة الاستخدامات، مما يتيح كلاً من هجمات DDoS والأنشطة غير المشروعة الأخرى مثل حشو بيانات الاعتماد، وتقطيع الويب القائم على الذكاء الاصطناعي (AI)، والبريد العشوائي، والتصيد الاحتيالي”، حسبما ذكرت الشركة. قال.
“تتضمن AISURU خدمة وكيل سكني مدمجة تُستخدم لتعكس هجمات DDoS لطبقة تطبيق HTTPS الناتجة عن أدوات الهجوم الخارجية.”
يتيح تحويل الأجهزة المخترقة إلى وكيل سكني للعملاء الذين يدفعون رسومًا توجيه حركة المرور الخاصة بهم عبر إحدى العقد في شبكة الروبوتات، مما يوفر إخفاء الهوية والقدرة على الاندماج مع نشاط الشبكة العادي. وفقًا للصحفي الأمني المستقل بريان كريبس، فإن جميع خدمات البروكسي الرئيسية لديها نمت بشكل كبير على مدى الأشهر الستة الماضية، نقلا عن بيانات من spur.us.
