-
09/04/2020
-
117
-
1.224 bài viết
Cuộc “đổ bộ” của botnet: PHP server, IoT và cloud bị tấn công hàng loạt
Giới an ninh mạng đang cảnh báo về làn sóng tấn công tự động quy mô lớn nhắm vào máy chủ PHP, thiết bị IoT và cổng kết nối cloud. Những chiến dịch này được thực hiện bởi các mạng botnet khét tiếng như Mirai, Gafgyt và Mozi và đang khai thác hàng loạt lỗ hổng bảo mật cũ để chiếm quyền kiểm soát thiết bị trên toàn cầu.
Theo báo cáo từ nhóm nghiên cứu Qualys Threat Research Unit (TRU), các chiến dịch này chủ yếu lợi dụng lỗ hổng đã công khai và cấu hình sai trên cloud để xâm nhập máy chủ. PHP được xem là mục tiêu ưa thích bởi nó là nền tảng của vô số hệ thống quản trị nội dung (CMS) như WordPress hay Craft CMS (là những công cụ phổ biến nhưng dễ bị bỏ quên cập nhật).
Ba lỗ hổng nghiêm trọng đang bị khai thác mạnh bao gồm:
Không chỉ web server, các thiết bị IoT và hệ thống cloud gateway cũng đang bị khai thác để mở rộng botnet. Một số lỗ hổng đáng chú ý:
Botnet vốn nổi tiếng với việc tấn công DDoS hoặc đào tiền ảo, nhưng nay chúng đang được “nâng cấp” để phục vụ các mục đích khác tinh vi hơn. Theo NETSCOUT, một botnet mới có tên AISURU (TurboMirai) có thể tung ra cuộc tấn công DDoS lên tới 20 Tbps, con số khổng lồ này vượt xa khả năng phòng thủ của hầu hết doanh nghiệp.
AISURU chủ yếu chiếm quyền router gia đình, camera an ninh và đầu ghi DVR, sau đó biến chúng thành proxy dân cư, nghĩa là lưu lượng của hacker sẽ đi qua các thiết bị này, khiến chúng trông như người dùng thật. Điều này giúp hacker ẩn danh, vượt kiểm tra vị trí đăng nhập và thực hiện tấn công quy mô lớn mà khó bị phát hiện.
Các chuyên gia cảnh báo tin tặc ngày nay không cần quá giỏi chỉ cần có công cụ sẵn trên mạng, ai cũng có thể gây thiệt hại lớn. Người quản trị hệ thống và doanh nghiệp cần:
Theo báo cáo từ nhóm nghiên cứu Qualys Threat Research Unit (TRU), các chiến dịch này chủ yếu lợi dụng lỗ hổng đã công khai và cấu hình sai trên cloud để xâm nhập máy chủ. PHP được xem là mục tiêu ưa thích bởi nó là nền tảng của vô số hệ thống quản trị nội dung (CMS) như WordPress hay Craft CMS (là những công cụ phổ biến nhưng dễ bị bỏ quên cập nhật).
Ba lỗ hổng nghiêm trọng đang bị khai thác mạnh bao gồm:
- CVE-2017-9841 (PHPUnit) - cho phép kẻ tấn công thực thi mã từ xa.
- CVE-2021-3129 (Laravel) - cho phép chạy lệnh trái phép trên server.
- CVE-2022-47945 (ThinkPHP) - khiến kẻ tấn công có thể cài mã độc trực tiếp.
Không chỉ web server, các thiết bị IoT và hệ thống cloud gateway cũng đang bị khai thác để mở rộng botnet. Một số lỗ hổng đáng chú ý:
- CVE-2022-22947 trong Spring Cloud Gateway, cho phép thực thi mã từ xa.
- CVE-2024-3721 trên TBK DVR-4104/4216, có thể bị tấn công qua lệnh chèn (command injection).
- Lỗi cấu hình trên MVPower TV-7104HE DVR, cho phép ai cũng có thể gửi lệnh hệ thống mà không cần đăng nhập.
Botnet vốn nổi tiếng với việc tấn công DDoS hoặc đào tiền ảo, nhưng nay chúng đang được “nâng cấp” để phục vụ các mục đích khác tinh vi hơn. Theo NETSCOUT, một botnet mới có tên AISURU (TurboMirai) có thể tung ra cuộc tấn công DDoS lên tới 20 Tbps, con số khổng lồ này vượt xa khả năng phòng thủ của hầu hết doanh nghiệp.
AISURU chủ yếu chiếm quyền router gia đình, camera an ninh và đầu ghi DVR, sau đó biến chúng thành proxy dân cư, nghĩa là lưu lượng của hacker sẽ đi qua các thiết bị này, khiến chúng trông như người dùng thật. Điều này giúp hacker ẩn danh, vượt kiểm tra vị trí đăng nhập và thực hiện tấn công quy mô lớn mà khó bị phát hiện.
Các chuyên gia cảnh báo tin tặc ngày nay không cần quá giỏi chỉ cần có công cụ sẵn trên mạng, ai cũng có thể gây thiệt hại lớn. Người quản trị hệ thống và doanh nghiệp cần:
- Luôn cập nhật phần mềm, plugin và firmware thiết bị.
- Tắt các công cụ phát triển (như Xdebug) trên môi trường thật.
- Lưu trữ thông tin nhạy cảm (API key, mật khẩu) bằng công cụ như AWS Secrets Manager hoặc HashiCorp Vault.
- Giới hạn quyền truy cập từ bên ngoài vào server và cloud gateway.
- Theo dõi log hệ thống, phát hiện sớm hành vi quét hoặc xâm nhập bất thường.
WhiteHat