Credit image: Freepix
Waspada! Mirai Cs Intai Server PHP dan Cloud – Para peneliti keamanan siber melaporkan adanya lonjakan tajam dalam serangan otomatis yang menyasar server PHP, perangkat Internet of Things (IoT), dan cloud gateways. Serangan ini dimotori oleh berbagai botnet berbahaya, termasuk Mirai, Gafgyt, dan Mozi.
Kampanye otomatis ini mengeksploitasi kerentanan Common Vulnerabilities and Exposures (CVE) yang sudah diketahui dan salah konfigurasi (misconfigurations) cloud untuk mengambil kendali atas sistem yang terekspos dan memperluas jaringan botnet.
1. Target Utama Server PHP dan CMS Populer
Server PHP muncul sebagai target yang paling menonjol karena penggunaan Sistem Manajemen Konten (Content Management Systems – CMS) yang luas seperti WordPress dan Craft CMS.
Popularitas ini menciptakan permukaan serangan yang besar, mengingat banyak deployment PHP rentan akibat:
- Salah konfigurasi.
- Plugin dan theme yang kedaluwarsa.
- Penyimpanan berkas yang tidak aman.
- Kerentanan PHP yang Dieksploitasi
Para pelaku ancaman secara aktif mengeksploitasi kelemahan spesifik dalam framework PHP, di antaranya:
Kerentanan Deskripsi Singkat
- CVE-2017-9841 Remote code execution (RCE) di PHPUnit.
- CVE-2021-3129 Remote code execution (RCE) di Laravel (via Blaze Templating).
- CVE-2022-47945 Remote code execution (RCE) di ThinkPHP Framework.
|
Baca juga: Merek Router Terkenal Dikuasai Botnet |
Eksploitasi Debugging (Xdebug)
Qualys juga mengamati upaya eksploitasi yang melibatkan penggunaan query string /?XDEBUG_SESSION_START=phpstorm dalam permintaan HTTP GET.
Jika Xdebug secara tidak sengaja dibiarkan aktif di lingkungan produksi, penyerang dapat menggunakan sesi debugging ini untuk mendapatkan wawasan tentang perilaku aplikasi atau mengekstrak data sensitif.
2. Memanfaatkan Kerentanan IoT dan Cloud Gateways
Selain PHP, pelaku ancaman terus mencari kredensial, kunci API, dan access tokens di server yang terekspos internet untuk menguasai sistem yang rentan.
Mereka juga memanfaatkan kelemahan keamanan yang dikenal pada perangkat IoT untuk merekrutnya ke dalam botnet.
- CVE-2022-22947: Kerentanan RCE di Spring Cloud Gateway.
- CVE-2024-3721: Kerentanan Command injection di TBK DVR-4104 dan DVR-4216.
- Salah Konfigurasi DVR: Kelemahan pada MVPower TV-7104HE DVR yang memungkinkan pengguna tanpa otentikasi mengeksekusi perintah sistem sewenang-wenang melalui permintaan HTTP GET.
Aktivitas pemindaian ini seringkali berasal dari infrastruktur cloud sah seperti AWS, Google Cloud, Microsoft Azure, Digital Ocean, dan Akamai Cloud.
Menunjukkan bagaimana pelaku ancaman menyalahgunakan layanan legal untuk menyamarkan asal-usul mereka.
Pelaku ancaman saat ini tidak perlu menjadi sangat canggih untuk menjadi efektif. Dengan exploit kits, framework botnet, dan alat pemindaian yang tersedia secara luas, bahkan penyerang tingkat pemula dapat menyebabkan kerusakan signifikan.
Dari DDoS ke Ancaman Identitas
Botnet tidak lagi hanya dikaitkan dengan serangan DDoS (Distributed Denial-of-Service) skala besar. Dalam era ancaman keamanan identitas, botnet mengambil peran baru yang lebih berbahaya:
Pencurian Identitas Skala Besar: Memiliki akses ke jaringan besar router dan alamat IP memungkinkan pelaku ancaman melakukan credential stuffing dan password spray attacks dalam skala masif.
Penghindaran Kontrol Geografis: Botnet dapat mencuri kredensial atau membajak sesi browser, lalu menggunakan node botnet yang dekat dengan lokasi aktual korban.
Bahkan menggunakan ISP yang sama, untuk mengelabui deteksi login yang tidak biasa atau kebijakan akses.
|
Baca juga: Emotet Botnet Spam Email Paling Berbahaya, Lumpuh!! |
Kemunculan TurboMirai AISURU Botnet
NETSCOUT mengklasifikasikan botnet DDoS-for-hire yang dikenal sebagai AISURU sebagai kelas malware baru yang dinamakan TurboMirai. Botnet ini mampu meluncurkan serangan DDoS yang dapat melebihi 20 Terabit per detik (Tbps).
Target Komponen: AISURU sebagian besar terdiri dari router akses broadband konsumen, sistem CCTV/DVR online, dan peralatan lainnya (CPE).
Fungsi Multi-Guna: Botnet ini menggabungkan kemampuan serangan DDoS dan fungsi multi-guna lain seperti credential stuffing, web scraping bertenaga AI, spamming, dan phishing.
Bahaya Residential Proxy Services
Salah satu taktik paling mengkhawatirkan adalah mengubah perangkat yang disusupi menjadi layanan residential proxy.
Ini memungkinkan pelanggan yang membayar untuk merutekan lalu lintas mereka melalui salah satu node di botnet, menawarkan anonimitas total dan kemampuan untuk berbaur dengan aktivitas jaringan reguler, sehingga sulit dideteksi oleh sistem keamanan.
Rekomendasi Pertahanan dan Mitigasi
Untuk melindungi diri dari ancaman botnet dan eksploitasi otomatis ini, perusahaan dan pengguna harus mengambil langkah-langkah kritis:
- Selalu pastikan semua perangkat, termasuk perangkat IoT dan firmware router, serta framework dan plugin PHP, diperbarui ke versi terbaru untuk menambal kerentanan CVE yang sudah diketahui.
- Wajib hapus atau nonaktifkan alat pengembangan dan debug (seperti Xdebug) di lingkungan produksi. Jika Xdebug diperlukan, batasi aksesnya secara ketat hanya pada IP yang diizinkan.
- Gunakan solusi manajemen rahasia profesional seperti AWS Secrets Manager atau HashiCorp Vault untuk menyimpan kredensial, kunci API, dan access tokens. Hindari menyimpannya dalam berkas konfigurasi yang terekspos.
- Terapkan prinsip least privilege. Batasi akses publik ke infrastruktur cloud dan hanya buka port dan layanan yang benar-benar diperlukan.
- Lakukan audit keamanan rutin, terutama pada CMS (WordPress, dll.) untuk mendeteksi plugin usang dan salah konfigurasi.
Sumber berita:
