حذّر باحثو الأمن السيبراني من ارتفاع حاد في الهجمات الآلية التي تستهدف خوادم PHP وأجهزة إنترنت الأشياء (IoT) وبوابات السحابة، عبر شبكات روبوتية (botnets) مثل Mirai وGafgyt وMozi، في موجة جديدة تهدد بنية الإنترنت المفتوحة.
خوادم PHP في مرمى الهجمات
وفقًا لتقرير صادر عن وحدة أبحاث التهديدات في شركة Qualys (TRU)، تستغل هذه الحملات المؤتمتة الثغرات الأمنية المعروفة وأخطاء إعداد السحابة للسيطرة على الأنظمة المكشوفة وتوسيع شبكات البوتنت. وأشار التقرير إلى أن خوادم PHP أصبحت الهدف الأبرز لهذه الهجمات، نظرًا لانتشار أنظمة إدارة المحتوى مثل WordPress وCraft CMS التي تعتمد على PHP، مما يجعلها عرضة لمشكلات شائعة مثل المكونات الإضافية القديمة وسوء تكوين التخزين.
من أبرز الثغرات التي يستغلها المهاجمون في أطر PHP ما يلي:
-
CVE-2017-9841: ثغرة تنفيذ أوامر عن بُعد في PHPUnit.
-
CVE-2021-3129: ثغرة تنفيذ أوامر عن بُعد في Laravel.
-
CVE-2022-47945: ثغرة تنفيذ أوامر عن بُعد في ThinkPHP Framework.
كما رصد الباحثون محاولات استغلال عبر سلاسل استعلام تحتوي على /XDEBUG_SESSION_START=phpstorm? لبدء جلسة تصحيح Xdebug مع بيئات التطوير مثل PhpStorm، ما قد يتيح للمهاجمين الوصول إلى سلوك التطبيق أو سرقة بيانات حساسة إن تُركت ميزة التصحيح مفعلة في بيئات الإنتاج.
استغلال أجهزة إنترنت الأشياء لتوسيع البوتنت
يواصل المهاجمون البحث عن بيانات اعتماد ومفاتيح API ورموز وصول في الخوادم المكشوفة، مستغلين أيضًا الثغرات في أجهزة إنترنت الأشياء لضمّها إلى شبكات البوتنت. ومن الثغرات البارزة المستخدمة:
-
CVE-2022-22947: ثغرة تنفيذ أوامر عن بُعد في Spring Cloud Gateway.
-
CVE-2024-3721: ثغرة حقن أوامر في أجهزة تسجيل الفيديو TBK DVR-4104 وDVR-4216.
-
خطأ إعداد في أجهزة MVPower TV-7104HE DVR يسمح بتنفيذ أوامر دون مصادقة عبر طلب HTTP GET.
وأوضحت Qualys أن نشاط المسح والاستغلال غالبًا ما ينشأ من بنى تحتية سحابية مثل AWS وGoogle Cloud وMicrosoft Azure وDigitalOcean وAkamai Cloud، مما يتيح للمهاجمين إخفاء مصدرهم الحقيقي أثناء استخدام خدمات شرعية لتنفيذ هجماتهم.
البوتنت.. من DDoS إلى سرقة الهوية
يقول جيمس مود، كبير مسؤولي التقنية الميداني في BeyondTrust، إن البوتنت لم تعد تقتصر على هجمات حجب الخدمة (DDoS) أو تعدين العملات، بل أصبحت جزءًا من بيئة تهديدات الهوية الحديثة. فامتلاك شبكة ضخمة من أجهزة التوجيه يمنح المهاجمين القدرة على تنفيذ هجمات تعبئة بيانات الاعتماد (Credential Stuffing) وهجمات الرش بكلمات المرور (Password Spraying) على نطاق واسع.
كما تتيح هذه الشبكات للمهاجمين تجاوز أنظمة تحديد الموقع الجغرافي عبر استخدام عقد قريبة من مواقع الضحايا الحقيقية — وحتى عبر نفس مزود الخدمة — لتبدو عمليات الدخول مشروعة.
جيل جديد من البوتنت: TurboMirai وAISURU
في السياق ذاته، صنّفت شركة NETSCOUT شبكة DDoS-for-hire المعروفة باسم AISURU كفئة جديدة من البرمجيات الخبيثة تُدعى TurboMirai، القادرة على تنفيذ هجمات تتجاوز 20 تيرابت في الثانية. تتكون هذه الشبكة من أجهزة منزلية مثل الموجّهات وأنظمة المراقبة وكاميرات DVR، وتتميز بقدرات هجومية مزدوجة تشمل DDoS ونشاطات غير مشروعة مثل تعبئة بيانات الاعتماد، واستخراج البيانات، والبريد العشوائي، والتصيّد الاحتيالي.
وتتضمن AISURU خدمة بروكسي سكني مدمجة، تُستخدم لتمرير الهجمات عبر أجهزة ضحايا حقيقية، مما يمنحها مستوى عالٍ من التخفي والتمويه في حركة المرور. وتشير تقارير المستقل برايان كريبس إلى أن خدمات البروكسي السكنية شهدت نموًا هائلًا خلال الأشهر الستة الماضية.
توصيات الحماية
ينصح الخبراء بتحديث الأجهزة باستمرار، وإزالة أدوات التطوير والتصحيح من بيئات الإنتاج، وتأمين الأسرار باستخدام أدوات مثل AWS Secrets Manager أو HashiCorp Vault، وتقييد الوصول العام للبنى السحابية. فمع سهولة الحصول على أدوات استغلال جاهزة وأطر بوتنت مفتوحة المصدر، لم يعد المهاجم بحاجة إلى مهارات عالية ليتسبب في أضرار جسيمة.
