Vulnerabilidades de 2017 resurgen en 2025: tu router es ahora una "plataforma en la nube" para hackers y cualquiera puede atacarlo

Un aumento brusco de ataques a servidores PHP, dispositivos de Internet de las cosas y puertas de enlace en la nube fue registrado por especialistas de Qualys Threat Research Unit (TRU). Según ellos, el repunte de actividad está relacionado con las botnets\ Mirai, Gafgyt y Mozi, que explotan vulnerabilidades conocidas y errores de configuración en entornos en la nube para expandir rápidamente sus redes.

PHP sigue siendo uno de los componentes más vulnerables de internet: más del 73% de los sitios web funcionan con él, y más del 80% de las empresas reconocen haber sufrido incidentes causados por configuraciones incorrectas de infraestructuras en la nube. Esto convierte a los servidores con aplicaciones PHP, incluido WordPress, en un objetivo fácil para ataques dirigidos a la ejecución remota de código y el robo de datos.

Los investigadores recuerdan que los atacantes tradicionalmente usan enrutadores y dispositivos de Internet de las cosas para construir botnets. Mirai, que apareció hace casi 10 años, infectó millones de dispositivos empleando apenas unos 60 inicios de sesión y contraseñas estándar. Hoy ese mismo esquema vuelve en una nueva forma: las botnets explotan vulnerabilidades modernas y puntos débiles en sistemas en la nube.

Entre las vulnerabilidades que se explotan activamente, Qualys destaca varias críticas: CVE-2022-47945 — ejecución remota de código en ThinkPHP debido a una filtración incorrecta de la entrada del usuario; CVE-2021-3129 — una ruta de depuración de Laravel Ignition activada en un entorno de producción; CVE-2017-9841 — una vulnerabilidad antigua en PHPUnit que expone el script eval-stdin.php.

Además, los atacantes aprovechan configuraciones descuidadas del entorno: depuradores dejados activados como XDebug o secretos sin cifrar. Se han registrado numerosos intentos de obtener archivos con credenciales de AWS en servidores Linux expuestos.

Se subraya por separado que los dispositivos de Internet de las cosas siguen siendo un eslabón débil debido a firmware obsoleto. El informe menciona la vulnerabilidad CVE-2024-3721 — una falla de inyección de comandos en TBK DVR, ya utilizada por botnets similares a Mirai. Se han encontrado problemas similares en MVPower DVR, donde puertas traseras integradas permiten el control remoto.

Si antes las botnets se usaban principalmente para ataques DDoS y minería oculta, ahora también se emplean para campañas masivas contra credenciales: fuerza bruta de contraseñas y operaciones de compromiso de identidades.

Los peligros no se limitan al segmento IoT: la vulnerabilidad CVE-2022-22947 en Spring Cloud Gateway permite ejecutar código arbitrario sin autenticación, lo que amenaza a los sistemas en la nube. Además, los desarrolladores con frecuencia crean y conectan servicios más rápido de lo que los equipos de seguridad pueden detectarlos, lo que conduce a nuevos puntos de entrada para los atacantes.

Los especialistas aconsejan a las empresas aplicar un enfoque orientado al riesgo para la gestión de vulnerabilidades: tener en cuenta la importancia de los activos, la probabilidad de explotación y el grado de impacto, para corregir primero las vulnerabilidades realmente peligrosas. Entre las recomendaciones básicas de Qualys están: actualizar los componentes puntualmente, desactivar las herramientas de depuración en producción, almacenar los secretos en almacenes seguros, limitar el acceso a la red y supervisar los registros en la nube en busca de abusos.

TRU señala que hoy en día no se requiere un alto nivel de habilidades para causar daño: exploits y escáneres están disponibles públicamente, y hasta atacantes novatos pueden provocar interrupciones significativas. Por eso la empresa insta a implementar monitorización continua y remediación automatizada de vulnerabilidades para proteger los servidores PHP, los equipos IoT y la infraestructura en la nube de los ataques en curso.