Laut einem aktuellen Bericht von The Hacker News (THN) warnen Forschende der Qualys Threat Research Unit (TRU) vor einem deutlichen Anstieg automatisierter Angriffe auf PHP-Server, IoT-Geräte und Cloud-Gateways. Hinter den Angriffen stehen demnach bekannte Botnetze wie Mirai, Gafgyt und Mozi, die gezielt Sicherheitslücken und Fehlkonfigurationen in Cloud-Umgebungen ausnutzen, um ihre Reichweite zu vergrößern.

PHP-Server im Fokus der Angreifer

Besonders häufig betroffen sind PHP-basierte Server, die für Content-Management-Systeme wie oder eingesetzt werden. Durch ihre weite Verbreitung bieten sie eine große Angriffsfläche. Laut Qualys seien veraltete Plugins, fehlerhafte Konfigurationen und unsichere Dateiablagen die häufigsten Einfallstore.

Besonders häufig betroffen sind PHP-basierte Server, die als Grundlage vieler Content-Management-Systeme wie WordPress und Craft CMS dienen. Durch ihre weite Verbreitung und oft unzureichende Wartung bieten sie Angreifern eine große Angriffsfläche. Viele Installationen enthalten veraltete Plugins, fehlerhafte Konfigurationen oder unsichere Dateiablagen.

Zu den derzeit aktiv ausgenutzten Schwachstellen zählen unter anderem:

• CVE-2017-9841: Remotecodeausführung in PHPUnit
• CVE-2021-3129: Remotecodeausführung in Laravel
• CVE-2022-47945: Remotecodeausführung im ThinkPHP-Framework

Auch die unbeabsichtigte Aktivierung des PHP-Debugging-Tools Xdebug in Produktionsumgebungen kann zur Gefahr werden, da Angreifer darüber potenziell Einblick in Systemverhalten und sensible Daten erhalten.

Angriffe auf IoT- und Cloud-Systeme

Neben PHP-Servern geraten zunehmend auch IoT-Geräte und Cloud-Gateways ins Visier der Botnetze. Angreifer suchen gezielt nach Anmeldeinformationen, API-Schlüsseln und Zugriffstoken, um die vollständige Kontrolle über Systeme zu übernehmen.

Ausgenutzte Schwachstellen sind unter anderem:

• CVE-2022-22947: Remotecodeausführung in Spring Cloud Gateway
• CVE-2024-3721: Befehlsinjektion in TBK DVR-4104 und DVR-4216
• Eine Fehlkonfiguration im MVPower TV-7104HE DVR, die unautorisierte Systembefehle über HTTP-GET-Abfragen ermöglicht

Angriffe über legitime Cloud-Infrastrukturen

Viele der beobachteten Scanaktivitäten stammen aus legitimen Cloud-Umgebungen wie Amazon Web Services (AWS), Google Cloud, Microsoft Azure, DigitalOcean und Akamai Cloud. Angreifer nutzen diese Infrastrukturen, um ihre Aktivitäten zu verschleiern und die Herkunft ihrer Angriffe zu verbergen. Durch den einfachen Zugang zu Exploit-Kits, Botnet-Frameworks und Scanning-Tools können selbst weniger erfahrene Akteure mittlerweile komplexe Angriffe durchführen.

Um sich vor dieser Bedrohung zu schützen, wird empfohlen, die Geräte stets auf dem neuesten Stand zu halten, Entwicklungs- und Debugging-Tools in Produktionsumgebungen zu entfernen, vertrauliche Daten mit AWS Secrets Manager oder HashiCorp Vault zu sichern und den öffentlichen Zugriff auf die Cloud-Infrastruktur einzuschränken.

Empfohlene Schutzmaßnahmen im Überblick

Um der wachsenden Bedrohung durch automatisierte Angriffe zu begegnen, empfehlen wir eine Kombination aus technischen, organisatorischen und Cloud-spezifischen Maßnahmen.

Allgemein:

• Systeme und Software regelmäßig aktualisieren und bekannte CVEs zeitnah patchen
• Entwicklungs- und Debugging-Tools wie Xdebug in Produktionsumgebungen deaktivieren
• Mehrfaktor-Authentifizierung (MFA) für alle administrativen Zugänge aktivieren
• Netzwerksegmentierung und eingeschränkten Zugriff auf sensible Systeme umsetzen
• Sicherheitslogs und Anomalien zentral überwachen (SIEM-Systeme)
• Firewalls und Intrusion Detection/Prevention-Systeme (IDS/IPS) einsetzen

Für WordPress und Craft CMS:

• Regelmäßige Updates von Core, Themes und Plugins durchführen
• Nur zertifizierte Erweiterungen aus vertrauenswürdigen Quellen installieren
• Datei- und Ordnerrechte restriktiv setzen (keine Schreibrechte im Webroot)
• XML-RPC und REST-API-Endpunkte absichern oder deaktivieren, falls unnötig
• Web Application Firewalls (WAFs) wie Cloudflare, Sucuri oder Wordfence einsetzen
• Automatisierte Backups und Wiederherstellungspläne implementieren
• Administrator-Logins über IP-Whitelist oder Captcha-Schutz absichern

Für Cloud-Systeme (AWS, Azure, Google Cloud):

• Least Privilege Principle bei IAM-Rollen strikt durchsetzen
• Secrets Management über AWS Secrets Manager, Azure Key Vault oder HashiCorp Vault nutzen
• Public Access zu S3-Buckets, VMs und Datenbanken konsequent einschränken
• Cloud-native Sicherheitsdienste wie AWS GuardDuty, Azure Defender oder Google Security Command Center aktivieren
• Regelmäßige Sicherheitsaudits und Penetrationstests durchführen
• Automatisches Monitoring auf verdächtige Aktivitäten in Cloud-Logs implementieren

Für IoT-Geräte:

• Standardpasswörter sofort ändern und starke, einzigartige Anmeldeinformationen verwenden
• Firmware regelmäßig aktualisieren und automatisierte Updates aktivieren, falls verfügbar
• Nicht benötigte Dienste und Ports auf den Geräten deaktivieren
• Netzwerkzugriff beschränken – IoT-Geräte sollten in separaten VLANs oder isolierten Netzsegmenten betrieben werden
• Remotezugriff nur über sichere VPN-Verbindungen oder Gateways zulassen
• Gerätekommunikation verschlüsseln (TLS/SSL) und unsichere Protokolle wie Telnet oder FTP vermeiden
• Regelmäßige Sicherheits-Scans und Inventarisierung aller IoT-Geräte durchführen
• Verdächtige Datenströme oder ungewöhnliches Traffic-Verhalten überwachen

Die aktuelle Entwicklung zeigt: Automatisierte Cyberangriffe skalieren zunehmend, und selbst geringfügige Fehlkonfigurationen können genügen, um Systeme vollständig zu kompromittieren. Betreiber von Web-, Cloud- und IoT-Systemen sollten daher auf eine umfassende Sicherheitsstrategie setzen, die kontinuierliche Überwachung, schnelle Patch-Zyklen und strikte Zugangskontrollen kombiniert.