Negli ultimi mesi si è registrato un significativo aumento degli attacchi automatizzati condotti da botnet contro server PHP, dispositivi IoT e gateway cloud. Gruppi di malware come Mirai, Gafgyt e Mozi stanno sfruttando vulnerabilità note (CVE) e configurazioni errate del cloud per prendere il controllo di sistemi esposti e ampliare le proprie reti malevole. I server PHP, in particolare quelli che ospitano CMS molto diffusi come WordPress e Craft CMS, sono tra i bersagli preferiti a causa della loro ampia diffusione e della presenza di configurazioni non sicure, plugin e temi obsoleti e storage poco protetto.
Vulnerabilità e tecniche di attacco
Tra le vulnerabilità più sfruttate figurano CVE-2017-9841 (esecuzione di codice remoto in PHPUnit), CVE-2021-3129 (esecuzione di codice remoto in Laravel) e CVE-2022-47945 (esecuzione di codice remoto in ThinkPHP Framework). Alcuni attacchi sfruttano anche la presenza attiva di Xdebug in ambienti di produzione, permettendo agli attaccanti di analizzare il comportamento delle applicazioni e potenzialmente estrarre dati sensibili.
Gli attori delle minacce cercano inoltre credenziali, chiavi API e token di accesso su server esposti online per prendere il controllo di sistemi vulnerabili, sfruttando anche debolezze note di dispositivi IoT come Spring Cloud Gateway (CVE-2022-22947) e DVR TBK (CVE-2024-3721), oltre a configurazioni non sicure che consentono l’esecuzione di comandi arbitrari.
Origine degli attacchi e strumenti utilizzati
Le attività di scansione e attacco partono spesso da infrastrutture cloud legittime come AWS, Google Cloud, Microsoft Azure e Digital Ocean, rendendo difficile tracciare la reale origine degli attacchi. L’accessibilità di exploit kit, framework botnet e strumenti di scansione consente anche ad attaccanti poco esperti di causare danni rilevanti.
Buone pratiche di difesa
Per difendersi da queste minacce è fondamentale mantenere sempre aggiornati dispositivi e software, rimuovere strumenti di sviluppo e debug dagli ambienti in produzione, proteggere le informazioni sensibili con sistemi come AWS Secrets Manager o HashiCorp Vault e limitare l’accesso pubblico alle infrastrutture cloud.
Nuovi scenari d’attacco delle botnet
Le botnet, storicamente associate a DDoS e attacchi di cryptomining, stanno assumendo un ruolo centrale anche in attacchi di credential stuffing e password spraying su larga scala. Grazie a una rete globale di router compromessi, le botnet possono aggirare i controlli di geolocalizzazione e le policy di accesso, rendendo gli attacchi ancora più efficaci e difficili da bloccare. Recentemente, botnet come AISURU e TurboMirai hanno dimostrato capacità di attacchi DDoS superiori ai 20 Tbps e l’offerta di servizi proxy residenziali, usati per mascherare attività fraudolente.