Des chercheurs en cybersécurité ont alerté sur une augmentation significative des attaques automatisées ciblant les serveurs PHP, les dispositifs IoT et les passerelles cloud, alimentées par des botnets comme Mirai, Gafgyt et Mozi. Selon un rapport de l’Unité de Recherche sur les Menaces de Qualys, ces attaques automatisées exploitent des vulnérabilités connues et des configurations inadéquates dans le cloud, permettant aux attaquants de prendre le contrôle de systèmes exposés et d’étendre ainsi leurs réseaux de botnets.
Quelques mesures simples pour éviter les attaques
Les serveurs PHP sont devenus les principales cibles de ces campagnes en raison de la popularité des systèmes de gestion de contenu (CMS) comme WordPress et Craft CMS. L’exposition de ces serveurs à des configurations incorrectes et à des plugins obsolètes élargit leur surface d’attaque. Les chercheurs soulignent que certains des méthodes utilisées par les attaquants impliquent la chaîne de requête ‘/?XDEBUG_SESSION_START=phpstorm’, ce qui permet de démarrer des sessions de débogage qui, si elles sont laissées actives dans des environnements de production, peuvent faciliter l’extraction de données sensibles.
De plus, il a été observé que les attaquants recherchent des identifiants, des clés API et des jetons d’accès sur des serveurs exposés à Internet, et profitent également des failles de sécurité dans les dispositifs IoT. L’activité de scan provient souvent d’infrastructures cloud telles qu’AWS et Google Cloud, ce qui montre comment les cybercriminels abusent de services légitimes pour dissimuler leurs véritables emplacements.
Les experts avertissent que même les attaquants de bas niveau peuvent causer des dommages significatifs grâce aux outils d’exploitation et aux kits de botnets largement disponibles. Pour atténuer ces risques, il est conseillé aux utilisateurs de maintenir leurs systèmes à jour, de supprimer les outils de développement dans les environnements de production et de restreindre l’accès public à leur infrastructure cloud.
Cette montée en puissance des capacités des botnets se reflète dans le récent classement de NETSCOUT, qui a identifié le botnet AISURU comme une nouvelle classe de malware capable de lancer des attaques DDoS dépassant les 20 térabits par seconde. AISURU combine des capacités d’attaque DDoS avec des fonctions supplémentaires, permettant des activités illicites telles que l’utilisation de proxies résidentiels pour dissimuler l’activité malveillante.