محققان امنیتی به بررسی افزایش حملات خودکار هدفمندی پرداختند که سرورهای PHP، دستگاههای اینترنت اشیا (IoT) و دروازههای ابری را توسط باتنتهای متنوع مانند Mirai، Gafgyt و Mozi هدف قرار میدهند.
واحد تحقیقات تهدیدات Qualys اعلام کرد: این کمپینهای خودکار با اکسپلویت از آسیبپذیریهای شناخته شده و پیکربندیهای نادرست ابری، اقدام به اخذ کنترل سیستمهای در معرض خطر و گسترش شبکههای باتنت میکنند. سرورهای PHP به دلیل استفاده گسترده از سیستمهای مدیریت محتوا مانند WordPress و Craft CMS، به عنوان برجستهترین اهداف این حملات ظاهر شدند. این امر سطح حمله بزرگی ایجاد میکند چرا که بسیاری از استقرارهای PHP میتوانند دارای پیکربندیهای نادرست، پلاگینها و تمهای قدیمی و ذخیرهسازی فایل ناامن باشند. برخی از آسیبپذیریهای برجسته در چارچوبهای PHP که توسط نفوذگران مورد سوءاستفاده قرار گرفتهاند، به شرح زیر هستند:
- CVE-2017-9841 (امتیاز 9.8): آسیبپذیری RCE در PHPUnit
- CVE-2021-3129 (امتیاز 9.8): آسیبپذیری RCE در Laravel
- CVE-2022-47945 (امتیاز 9.8): آسیبپذیری RCE در چارچوب ThinkPHP
این شرکت شاهد تلاشهای اکسپلویت شامل استفاده از یک رشته کوئری در درخواستهای HTTP GET برای آغاز سشن دیباگ Xdebug با محیط IDE مانند PhpStorm نیز بوده است. از سوی دیگر، عوامل تهدید همچنان به دنبال اعتبارنامهها، کلیدهای API و توکنهای دسترسی در سرورهای در معرض اینترنت هستند تا کنترل سیستمهای آسیبپذیر را به دست آورند و همچنین از نقصهای امنیتی شناخته شده در دستگاههای IoT برای ادغام آنها در باتنت استفاده کنند. این موارد عبارتند از:
- CVE-2022-22947 (امتیاز 10.0): آسیبپذیری RCE در Spring Cloud Gateway
- CVE-2024-3721 (امتیاز 6.3): آسیبپذیری تزریق دستور در TBK DVR-4104 و DVR-4216
- پیکربندی نادرست در MVPower TV-7104HE DVR به کاربران احراز هویت نشده، امکان اجرای دستورات دلخواه سیستم از طریق درخواست HTTP GET را میدهد.
این افشاگری در حالی صورت میگیرد که NETSCOUT باتنت DDoS-for-hire معروف به AISURU را به عنوان کلاس جدیدی از بدافزارها با نام TurboMirai طبقهبندی کرده است که میتواند حملات DDoS با سرعت بیش از 20 ترابیت در ثانیه (Tbps) را انجام دهد. این باتنت در درجه اول شامل روترهای دسترسی به پهنای باند در سطح مصرفکننده، سیستمهای دوربین مداربسته و DVR آنلاین و سایر تجهیزات مشتری (CPE) است. AISURU شامل سرویس پروکسی مسکونی داخلی است که برای بازتاب حملات DDoS لایه برنامه HTTPS ایجاد شده توسط مهارهای حمله خارجی استفاده میشود. تبدیل دستگاههای آسیبپذیر به پروکسی مسکونی به کلاینتها اجازه میدهد تا ترافیک خود را از طریق یکی از گرههای باتنت هدایت کنند و ناشناس بودن و امکان ترکیب با فعالیت منظم شبکه را ارائه دهند.
\https://thehackernews.com/2025/10/experts-reports-sharp-increase-in.html
