СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
31.10.2025
#ИБ#Инфра#Облака

Qualys: массовое использование PHP и IoT привело к всплеску атак ботнетов на серверы и облачные шлюзы

Qualys: массовое использование PHP и IoT привело к всплеску атак ботнетов на серверы и облачные шлюзы

Изображение: recraft

Компания Qualys опубликовала отчёт, посвящённый росту угроз, связанных с активностью ботнетов, нацеленных на PHP-серверы, IoT-устройства и облачную инфраструктуру. Исследование подготовлено экспертами подразделения Threat Research Unit и демонстрирует, как уязвимости, ошибки конфигурации и недоработки в защите превращаются в инструмент масштабных атак.

Специалисты фиксируют стремительное распространение вредоносных сетей Mirai, Gafgyt и Mozi. Эти ботнеты используют уязвимости из публичных баз данных и нестабильные настройки в облачных средах, чтобы наращивать охват и захватывать всё больше устройств. Поверхность атак продолжает расширяться — на фоне того, что PHP задействован более чем на 73% веб-ресурсов, а 82% компаний отмечают случаи неправильного конфигурирования облачных сервисов.

Особую уязвимость представляют серверы, на которых развернуты сайты на CMS вроде WordPress. Они становятся привлекательной целью для атак с целью получения удалённого контроля или хищения критических данных. В документе подчёркивается, что многие организации недооценивают риски, связанные с использованием устаревших или неправильно настроенных компонентов.

Инфраструктура Интернета вещей и маршрутизаторы остаются под постоянным давлением — злоумышленники используют их в качестве платформы для расширения ботнетов. Специалисты напоминают, что ещё в середине 2010-х Mirai заражал устройства, подбирая пароли из ограниченного набора типовых значений. Новые волны атак демонстрируют сходные сценарии, опираясь на упущения в защите и предсказуемость конфигураций.

В числе активно эксплуатируемых уязвимостей названы:

  • CVE-2022-47945 — удалённое выполнение команд в ThinkPHP из-за некорректной обработки входных параметров;
  • CVE-2021-3129 — оставленный в публичном доступе отладочный маршрут Laravel Ignition;
  • CVE-2017-9841 — уязвимость PHPUnit, связанная с опасным скриптом eval-stdin.php.

Атакующие также активно используют недоработки в работе с отладочными инструментами (например, XDebug) и неправильное хранение чувствительной информации в коде. В отчёте приводятся примеры сканирования уязвимых Linux-серверов в поисках файлов с закрытыми данными Amazon Web Services — злоумышленники стремятся получить прямой доступ к конфиденциальной информации, хранящейся в облаке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: