Ces dernières semaines, les chercheurs en cybersécurité ont observé une augmentation significative des attaques automatisées ciblant les serveurs PHP, les appareils IoT et les passerelles cloud. Cette activité provient principalement des réseaux de zombies Mirai, Gafgyt et Mozi. Le phénomène s'est intensifié si rapidement que les experts le qualifient de tendance récurrente observée il y a plusieurs années, mais qui opère désormais à une échelle bien plus vaste. Les attaques sont entièrement automatisées. Après avoir analysé le réseau à la recherche de systèmes vulnérables, les botnets tentent de détourner la capacité d'exécuter des commandes. Une fois l'infection réussie, les appareils infectés intègrent le botnet, qui les utilise pour étendre son infrastructure. Les serveurs PHP attirent particulièrement l'attention des cybercriminels. La popularité de WordPress, Craft CMS et autres systèmes basés sur PHP crée un vaste écosystème de solutions, facilitant la découverte d'installations négligées. Les chercheurs alertent sur le fait que de nombreuses implémentations reposent sur des versions logicielles obsolètes, des plugins abandonnés et des thèmes non pris en charge. Dans de tels environnements, même des vulnérabilités anciennes restent exploitables. Les vulnérabilités les plus fréquemment exploitées sont CVE-2017-9841 dans le framework PHPUnit, CVE-2021-3129 dans Laravel et CVE-2022-47945 dans ThinkPHP. Bien que documentées et corrigées il y a plusieurs années, l'absence de mises à jour les rend toujours exploitables. Des chercheurs signalent également des utilisations abusives du module Xdebug. De nombreuses requêtes HTTP incluent la balise /?XDEBUG_SESSION_START=phpstorm, ce qui active le mode débogage sur l'application cible. En théorie, Xdebug devrait être désactivé, mais en pratique, il reste souvent activé.

Les botnets analysent également les objets connectés, les enregistreurs vidéo et les systèmes périphériques servant de points d'accès intermédiaires aux ressources de l'entreprise. Parmi les vulnérabilités les plus fréquemment exploitées figurent CVE-2022-22947 dans les passerelles cloud Spring, CVE-2024-3721 dans les enregistreurs vidéo numériques TBK et des vulnérabilités dans les enregistreurs MVPower permettant l'exécution de commandes arbitraires via de simples requêtes HTTP. De nombreux opérateurs d'infrastructures IoT négligent les mises à jour car la modification des configurations peut entraîner des interruptions de service, un accès physique aux appareils ou un recalibrage. Cela ouvre la porte aux prises de contrôle. Les experts de Qualys soulignent que le niveau d'expertise requis pour mener à bien une attaque est aujourd'hui nettement inférieur à celui d'hier. Les dépôts publics proposent des frameworks de gestion de botnets et des kits d'exploitation prêts à l'emploi, exécutables sans connaissances avancées en programmation. De nombreuses analyses proviennent de ressources cloud légitimes telles qu'Amazon Web Services, Google Cloud, Microsoft Azure, Digital Ocean et Akamai, ce qui complique davantage le traçage de l'origine de l'opération. James Maude de BeyondTrust commente ce phénomène, soulignant que les botnets modernes ne sont plus uniquement associés aux attaques DDoS et au spam. Ils ciblent de plus en plus les identifiants, les clés API et les jetons utilisés pour infiltrer les infrastructures.

Les experts soulignent que le problème se répète régulièrement car des failles de sécurité fondamentales demeurent non corrigées. Logiciels obsolètes, mots de passe par défaut, configurations de serveurs incorrectes et absence d'audits réguliers créent un environnement propice au développement quasi libre des botnets. Pour de nombreuses entreprises, le moment est venu de réévaluer si la sécurité numérique est un processus permanent ou une tâche effectuée « après coup ». Les événements de ces dernières semaines démontrent que les risques augmentent dès lors que les processus de maintenance des infrastructures sont considérés comme un coût plutôt que comme un fondement.