關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 雲端安全
顯示分類
2025.10.30
事件與威脅/雲端安全
利用漏洞和錯誤配置,殭屍網路加大雲攻擊力度
殭屍網路對現代雲端環境的威脅

隨著企業將業務重心轉移至雲端和物聯網(IoT)生態系統,網路的攻擊面以前所未有的速度擴大。對於惡意行為者而言,這提供了豐富的資源和機會。臭名昭著的殭屍網絡,如 Mirai,正在加強利用暴露在網路上的資產(如 PHP 伺服器、物聯網設備和雲端網關)的攻擊力度,以獲取網路資源的控制權,並增強自身實力,從而進行進一步的惡意活動。

殭屍網路不再僅限於攻擊個人電腦。它們的目標已進化到高度價值且配置多樣化的企業與雲端資產,以竊取敏感資訊或發動大規模分散式阻斷服務(DDoS)攻擊。對這些新型殭屍網路活動的理解,對於現代網路安全防禦至關重要。

 

擴大的攻擊面:從雲端憑證到物聯網缺陷

攻擊面包括暴露或配置錯誤的Linux伺服器上的敏感亞馬遜網路服務憑證文件,以及韌體過時、協議薄弱、憑證硬編碼的不安全或老舊的物聯網設備。攻擊者也會透過暴露的API和配置錯誤的服務攻擊雲端原生環境,並利用已知的、大多是嚴重的漏洞。

據 Qualys 稱,最近的網路掃描活動發現,攻擊者正在透過其殭屍網路活動利用許多著名的雲端服務和網路服務,其中包括來自 Google Cloud Platform (GCP)、AWS、Microsoft Azure、Digital Ocean 和 Akamai Cloud 等的數千個來源 IP 位址。

這些攻擊利用的不是複雜的零時差漏洞,而是最基本、最常見的安全疏忽。例如,將敏感的雲端憑證以明文形式存放在可公開存取的 Linux 伺服器上,或是使用未加密、硬編碼的預設密碼的舊式物聯網設備,這些都是殭屍網路輕易入侵的入口。

 

PHP伺服器的雙面性與漏洞利用

以 PHP 為例,它已成為網站和 Web 應用程式的基礎元件,尤其是在 WordPress 等流行的內容管理系統 (CMS) 中。然而,它的普及性也使其成為殭屍網路的理想目標,尤其因為許多此類部署存在各種安全隱患,例如版本和插件過時、文件權限配置錯誤、生產環境中啟用調試組件以及文件存儲不安全等。

PHP 在全球網際網路上佔有極高的市佔率,但其部署的複雜性與頻繁的更新需求,使得許多組織難以維持完美的修補狀態。過時的 PHP 版本和外掛程式通常包含已公開的嚴重漏洞,這些漏洞對於殭屍網路而言是現成的攻擊工具。此外,錯誤配置的文件權限可能允許未經授權的修改,而將調試(Debug)組件留在生產環境中則可能無意中洩露內部系統資訊,為攻擊者提供寶貴的入侵線索。

 

物聯網設備的長期風險與殭屍網路的鎖定

據Qualys稱,物聯網設備也正遭受殭屍網路利用現有漏洞發動的猛烈攻擊。例如,Mirai及其類似殭屍網路目前正在利用一個嚴重的命令注入漏洞(編號為CVE-2024-3721),該漏洞源自於TBK DVR-4104和DVR-4216設備韌體邏輯不安全。 Mirai變種也利用MVPower TV-7104HE DVR設備中的一個配置錯誤,該設備內建後門,允許未經身份驗證的用戶透過HTTP GET請求執行任意系統命令。

物聯網設備的生命週期長、修補困難且通常缺乏主動安全監控,這使其成為殭屍網路的理想目標。這些設備一旦被攻陷,便成為殭屍網路的穩定組成部分,用於發動大規模攻擊,因為它們的地理分散性使其難以追蹤和緩解。CVE-2024-3721 案例清楚地表明,即使是韌體中看似無害的邏輯缺陷,也可能被殭屍網路轉化為嚴重的命令注入漏洞,從而實現對設備的完全控制。

 

最佳實踐:從修補到最小化攻擊面

鑑於針對組織機構暴露的面向 Web 的資產的殭屍網路活動威脅日益增加,Qualys 提出了一些安全最佳實踐,以避免遭受損害並防止攻擊者利用組織的基礎設施進行惡意活動。一項建議顯而易見,但許多組織仍然難以做到,那就是定期更新所有軟體相依性、函式庫和框架,以確保漏洞得到修復。

持續且全面的修補管理是防禦殭屍網路最基礎,也是最有效的手段。組織必須超越僅僅更新作業系統的範疇,將所有軟體相依性、第三方函式庫和 Web 框架納入修補流程。

此外,防禦者還可以透過移除和/或停用生產環境中的開發和調試工具來減少攻擊面,因為許多被利用的漏洞之所以存在,是因為這些工具在生產環境中沒有被停用。Qualys指出,企業還應採取額外措施保護敏感文件和機密訊息,避免將其以明文形式儲存——這是另一個顯而易見但常見的錯誤,可能導致安全漏洞被利用。

安全團隊應確保所有面向網際網路的資產都遵循最小權限原則深度防禦策略。這包括:嚴格審核雲端環境中的所有配置,確保沒有意外暴露的憑證文件;停用生產環境中的所有非必要服務、埠和調試工具;以及採用嚴格的存取控制和身份驗證機制。這些措施共同作用,才能有效減少殭屍網路可利用的攻擊點,從根本上削弱其強化自身實力的機會。

 

提升營運紀律以對抗自動化威脅

殭屍網路對雲端和物聯網環境的攻擊,本質上是對企業營運紀律(Operational Discipline)的考驗。攻擊者利用的不是高度複雜的駭客技術,而是普遍存在的配置錯誤、修補延遲和不安全的開發習慣。對抗這些自動化的威脅,需要組織將基礎的安全衛生(Security Hygiene)提升到最高優先級。唯有透過定期的軟體更新、嚴格的配置管理、移除生產環境中的開發工具以及保護所有敏感憑證,企業才能有效地收緊攻擊面,確保自身的基礎設施不會成為下一個被殭屍網路濫用的資源。


資料來源:https://www.darkreading.com/cloud-security/botnets-cloud-attacks-flaws-misconfigurations
 
探討了 Mirai 等殭屍網路如何透過利用網路暴露的資產,特別是雲端錯誤配置的 Linux 伺服器、過時的 PHP 部署和不安全的物聯網設備,來獲取控制權並強化攻擊能力。