Automatisierte Botnetz-Angriffe auf PHP-Server und IoT-Systeme nehmen drastisch zu : Forschungsbericht zeigt massive Zunahme von Angriffen über bekannte Schwachstellen und Cloud-Missbrauch
Sicherheitsexperten warnen vor einer neuen Welle automatisierter Angriffe auf PHP-Server, IoT-Geräte und Cloud-Gateways. Botnetze wie Mirai, Gafgyt und Mozi nutzen bekannte Schwachstellen und Fehlkonfigurationen, um sich rasend schnell auszubreiten – oft über legale Cloud-Infrastrukturen.
Die Qualys Threat Research Unit schlägt Alarm: Eine stark ansteigende Zahl automatisierter Angriffe zielt derzeit auf PHP-basierte Systeme, internetfähige Geräte und Cloud-Gateways ab. Im Zentrum stehen altbekannte Botnetze wie Mirai, Gafgyt und Mozi, die ihre Angriffsmethoden immer weiter automatisieren.
„Diese automatisierten Kampagnen nutzen bekannte Sicherheitslücken und Fehlkonfigurationen in Cloud-Umgebungen aus, um Kontrolle über exponierte Systeme zu erlangen und Botnetze weiter auszubauen“, so das Forschungsteam von Qualys.
Besonders PHP-Server geraten zunehmend ins Visier, da Content-Management-Systeme wie WordPress und Craft CMS eine enorme Angriffsfläche bieten. Veraltete Plugins, unsichere Dateifreigaben und falsch konfigurierte Frameworks machen es Angreifern leicht, Schadcode einzuschleusen.
Alte Schwachstellen, neue Exploits
Mehrere bekannte Sicherheitslücken in PHP-Frameworks werden derzeit gezielt ausgenutzt:
- CVE-2017-9841 – Remote-Code-Ausführung in PHPUnit
- CVE-2021-3129 – Remote-Code-Ausführung in Laravel
- CVE-2022-47945 – Remote-Code-Ausführung in ThinkPHP
Darüber hinaus registrierten die Forscher Angriffe, bei denen die Zeichenkette /?XDEBUG_SESSION_START=phpstorm in HTTP-GET-Anfragen verwendet wird. Auf diese Weise versuchen Angreifer, eine Xdebug-Debugging-Sitzung zu initiieren – oft mit dem Ziel, über Entwicklungswerkzeuge wie PhpStorm Zugriff auf sensible Daten zu erlangen. „Bleibt Xdebug in Produktionsumgebungen aktiv, können Angreifer tief in das Verhalten der Anwendung eindringen und vertrauliche Informationen abgreifen“, warnt Qualys.
IoT-Geräte als Einfallstor
Neben PHP-Systemen geraten auch IoT-Geräte zunehmend in den Fokus. Angreifer nutzen bekannte Schwachstellen, um digitale Videorekorder oder Netzwerkkameras in Botnetze einzubinden:
- CVE-2022-22947 – Remote-Code-Ausführung in Spring Cloud Gateway
- CVE-2024-3721 – Befehlsinjektion in TBK DVR-4104 und DVR-4216
- MVPower TV-7104HE – Fehlkonfiguration ermöglicht unautorisierte Systembefehle über HTTP
Die Scan-Aktivitäten stammen laut Qualys häufig aus Cloud-Infrastrukturen wie Amazon Web Services, Google Cloud, Microsoft Azure, Digital Ocean und Akamai Cloud. Angreifer tarnen ihre Herkunft, indem sie legitime Cloud-Dienste missbrauchen. „Heutige Bedrohungsakteure müssen nicht hochspezialisiert sein, um effektiv zu sein“, betont Qualys. „Dank frei verfügbarer Exploit-Kits, Botnetz-Frameworks und Scantools können selbst Einsteiger erheblichen Schaden anrichten.“
Schutz vor der neuen Angriffswelle
Um sich zu schützen, empfehlen Experten, Systeme und Geräte konsequent aktuell zu halten, Debugging-Tools aus Produktionsumgebungen zu entfernen und Geheimnisse wie Zugangsdaten oder API-Schlüssel sicher in Tresoren wie AWS Secrets Manager oder HashiCorp Vault zu speichern. Auch der öffentliche Zugriff auf Cloud-Ressourcen sollte stark eingeschränkt werden.
James Maude, Field Chief Technology Officer bei BeyondTrust, warnt: „Botnetze haben sich zu einer neuen Macht im Bedrohungsökosystem entwickelt. Mit ihren weit verzweigten Netzwerken aus Routern und IP-Adressen können Angreifer massenhaft Anmeldeversuche starten oder Geolokalisierungsmechanismen umgehen, indem sie Knotenpunkte in unmittelbarer Nähe des Opfers einsetzen.“
DDoS-Angriffe der Superlative
Parallel dazu hat NETSCOUT das DDoS-fähige Botnetz AISURU als eine neue Malware-Klasse identifiziert, die als „TurboMirai“ bezeichnet wird. Dieses Botnetz erreicht Angriffsstärken von über 20 Terabit pro Sekunde und nutzt vor allem Heimrouter, Überwachungssysteme und andere Kundengeräte.
„Diese Botnetze verfügen über erweiterte DDoS-Funktionen und Mehrzweckfähigkeiten. Sie ermöglichen sowohl Angriffe als auch illegale Aktivitäten wie Credential Stuffing, KI-gestütztes Web-Scraping, Spam und Phishing“, so NETSCOUT.
AISURU nutzt zudem einen eingebauten Proxy-Dienst, der legitime HTTPS-Anfragen reflektiert und es Angreifern erlaubt, ihre Aktivitäten in regulären Netzwerkverkehr zu verschleiern.
Der Sicherheitsjournalist Brian Krebs bestätigt, dass die großen Proxy-Dienste in den vergangenen sechs Monaten exponentiell gewachsen sind – ein klares Zeichen dafür, dass Botnetze längst zu einer zentralen Infrastruktur moderner Cyberangriffe geworden sind.
Fazit
Die aktuelle Angriffswelle zeigt eindrucksvoll, wie automatisierte Botnetze klassische Server, IoT-Geräte und Cloud-Umgebungen gleichermaßen bedrohen. Die Angreifer nutzen vorhandene Werkzeuge, Cloud-Dienste und bekannte Schwachstellen, um ihre Botnetze in nie dagewesenem Tempo zu erweitern. Für Unternehmen und Betreiber digitaler Systeme bedeutet das: Wachsamkeit, konsequente Härtung und eine strikte Trennung von Entwicklungs- und Produktionsumgebungen sind wichtiger denn je.