TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

PHPサーバーとIoTデバイスが高まるサイバー攻撃リスクに直面

サイバーセキュリティ研究者によって、PHPサーバー、IoT(モノのインターネット)デバイス、クラウドゲートウェイを標的とした攻撃の急増が確認されました。

本日発表されたQualys Threat Research Unit(TRU)の最新レポートは、この増加の原因をMirai、Gafgyt、Moziといったボットネットによるものとし、これらが既知のCVEやクラウドの設定ミスを悪用して勢力を拡大しているとしています。

PHPはウェブサイトの73%以上で使用されており、企業の82%がクラウド設定ミスに関連するインシデントを報告しているため、デジタル攻撃の対象範囲は拡大し続けています。これにより、WordPressなどPHPベースのアプリケーションを稼働させているサーバーは、リモートコード実行(RCE)やデータ窃取を狙う攻撃者にとって特に魅力的な標的となっています。

「ルーターやIoTデバイスは長年にわたり標的とされ、ますます大規模なボットネットの一部として侵害されてきました」とBeyondTrustのフィールドCTO、James Maude氏は述べています。

「約10年前、Miraiボットネットの台頭を目の当たりにしましたが、これは当初60種類のデフォルトユーザー名とパスワードを悪用して大量のデバイスにログインし、感染させていました。」

彼はまた、歴史は繰り返さないが「ルーターの侵害とボットネットに関しては、しばしば韻を踏む」と付け加えました。

現在進行中の主な脆弱性

Qualysは、現在実際に悪用されている複数の脆弱性を強調しています:

  • CVE-2022-47945:ThinkPHPにおける不適切な入力サニタイズによるRCEの脆弱性

  • CVE-2021-3129:本番環境で有効なままのLaravel Ignitionデバッグルート

  • CVE-2017-9841:eval-stdin.phpスクリプトを露出させる長年のPHPUnitの脆弱性

攻撃者はまた、XDebugなどの有効なデバッグツールや不適切に保存されたシークレットといった安全でない設定も悪用しています。

Qualysの研究者は、公開されたLinuxサーバーからAmazon Web Services(AWS)の認証情報ファイルを取得しようとする試みが頻繁に見られると指摘しています。

クラウド設定ミスのリスクについてさらに読む:ハッカーが不適切に公開されたAWS認証情報を持つ公開ウェブサイトの設定ミスを悪用

IoTとクラウドシステムは依然として危険にさらされている

IoTデバイスは、特に古いファームウェアを使用しているものが、依然として持続的な弱点となっています。レポートでは、Miraiのようなボットネットによって悪用されているTBK DVRのコマンドインジェクション脆弱性(CVE-2024-3721)や、バックドアを内蔵したMVPower DVRを標的とした類似の攻撃が挙げられています。

「ボットネットはこれまで大規模なDDoS攻撃や時折発生する暗号通貨マイニング詐欺と関連付けられてきましたが、アイデンティティセキュリティ脅威の時代において、脅威エコシステムで新たな役割を担うようになっています」とMaude氏は述べています。

彼は、侵害されたルーターの膨大なネットワークへのアクセスにより、攻撃者が大規模なクレデンシャルスタッフィングやパスワードスプレー攻撃を実行できると説明しました。

クラウドネイティブ環境もリスクにさらされており、Spring Cloud GatewayのCVE-2022-22947により、認証なしでコード実行が可能となっています。

「かつてセキュリティチームは、運用データやシステムが存在するデータセンターを完全に管理していました」とBugcrowdのチーフストラテジー&トラストオフィサー、Trey Ford氏は述べています。

「現代のクラウドネイティブやインフラストラクチャ・アズ・コードの時代では、開発者がセキュリティチームが把握するよりも早くサービスやインフラを立ち上げ、接続できるようになっています。」

Ford氏は「攻撃対象領域を常に最新の状態に保つことは、重要な能力である」と強調し、「見えないもの、変化を特定できないものを、どうやって守れるのか?」と付け加えました。

悪用への耐性を構築する

iCOUNTERのパートナーGTM、Scott Schneider氏は「リスクベースの脆弱性管理(RBVM)は、増え続ける脆弱性リストに対処する効果的な方法です」と述べました。

資産の重要度、脅威の可能性、露出度を評価することで、組織は「最も差し迫った深刻なリスクをもたらす脆弱性に修正作業を集中できる」と説明しています。

露出を減らすために、Qualysは以下も推奨しています:

  • ソフトウェアやフレームワークの迅速なパッチ適用

  • 本番環境での開発・デバッグツールの無効化

  • プレーンテキストファイルではなく、管理されたストアでのシークレット管理

  • ネットワークアクセスを必要最小限のIPに制限

  • クラウドアクセスログによる認証情報の不正使用の監視

Qualysは、攻撃者がもはや高度なスキルを必要とせずに影響力のある攻撃を仕掛けられるようになったと結論付けています。

「広く出回っているエクスプロイトキットやスキャンツールにより、初心者レベルの攻撃者でも大きな被害をもたらすことができます」と研究者らは述べています。

同社は、PHPサーバー、IoTデバイス、クラウドシステムを継続的な悪用から守るため、組織に対して継続的な可視化と自動修復の導入を強く求めています。

翻訳元: https://www.infosecurity-magazine.com/news/php-servers-and-iot-devices-cyber/

ソース: infosecurity-magazine.com
#2025年サイバー攻撃 #Aisuruボットネット #AWS認証情報漏洩 #IoTデバイス #PHPサーバー #クラウドゲートウェイ #クラウドミスコンフィグレーション #リモートコード実行(RCE) #脆弱性管理 #自動化された攻撃

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新