ANECT a.s.Botnety ve velkém útočí na PHP servery a IoT zařízení
Zpět na blog18. 11. 2025
Automatizované útoky pomocí botnetů jako Mirai, Gafgyt či Mozi opět na vzestupu – tentokrát s novým cílem a taktikami
Výzkumníci ze společnosti Qualys Threat Research Unit (TRU) varují před výrazným nárůstem automatizovaných útoků vedených botnety, které zneužívají zranitelnosti v PHP serverech, IoT zařízeních a cloudových branách. Cílem je kompromitovat tyto systémy, rozšířit botnetovou infrastrukturu a následně ji využít k dalším útokům – od DDoS přes krádeže dat až po skryté proxy sítě.
PHP servery – zvláště ty provozující populární CMS jako WordPress nebo Craft CMS – často trpí slabým zabezpečením, obsahují neaktuální pluginy nebo nesprávně nakonfigurované prostředí. Právě tyto nedostatky vytvářejí rozsáhlý útočný povrch. Útočníci navíc zneužívají i zbylé debug nástroje v produkčním prostředí, jako např. Xdebug, který umožňuje vzdálené ladění aplikací.
Mezi nejčastěji zneužívané chyby patří CVE-2017-9841 – RCE zranitelnost v PHPUnit, CVE-2021-3129 – RCE v Laravel, CVE-2022-47945 – RCE v ThinkPHP, CVE-2022-22947 – RCE v Spring Cloud Gateway, CVE-2024-3721 – příkazová injekce v TBK DVR-4104/4216 a chybná konfigurace v MVPower DVR, umožňující spouštění příkazů přes HTTP GET.
Tyto útoky probíhají často z cloudových prostředí, jako jsou AWS, Google Cloud, Azure, Digital Ocean či Akamai Cloud, což ztěžuje jejich identifikaci a zamezení.
Botnety jako infrastruktura pro DDoS a další útoky
Vedle klasického DDoS využití jsou moderní botnety využívány k útokům typu credential stuffing a password spraying, web scrapingu pomocí AI nástrojů, spamu a phishingu či vytváření rezidenčních proxy – např. v případě botnetu AISURU, který funguje jako „TurboMirai“ a je schopen generovat útoky o síle přes 20 Tbps.
Tyto proxy sítě pak umožňují útočníkům maskovat své aktivity – například se tváří jako běžný uživatel z geograficky blízké lokace, čímž obcházejí detekci na základě neobvyklých přihlášení.
Doporučení pro bezpečnostní týmy
– Pravidelně aktualizujte servery, frameworky i CMS systémy.
– Odstraňte vývojářské a ladicí nástroje z produkčních prostředí.
– Uchovávejte citlivé údaje bezpečně.
– Omezte veřejný přístup k API a dalším komponentám infrastruktury
– Sledujte odchozí provoz do cloudových sítí a pravidelně revidujte přístupová práva.
Narůstající sofistikovanost a automatizace útoků prostřednictvím botnetů ukazuje, že i méně zkušený útočník dnes může s dostupnými nástroji způsobit značné škody. Firmy by měly věnovat pozornost nejen klasické ochraně perimetru, ale také konfiguraci vývojářských nástrojů, ochraně API a detekci výstupní komunikace směrem k neznámým cloudovým službám.
Zdroje: Qualys Threat Research Unit, thehackernews.com, NETSCOUT, BeyondTrust