Το νέο κακόβουλο λογισμικό τύπου worm P2PInfect στοχεύει διακομιστές Linux και Windows Redis

Νωρίτερα αυτό το μήνα, ερευνητές ασφαλείας ανακάλυψαν ένα νέο κακόβουλο λογισμικό peer-to-peer (P2P) με δυνατότητες αυτοδιάδοσης που στοχεύει περιπτώσεις Redis που εκτελούνται σε συστήματα

Windows

και Linux που εκτίθενται στο Διαδίκτυο.

Οι ερευνητές της Μονάδας 42 που εντόπισαν το σκουλήκι με βάση τη σκουριά (ονομ

P2PInfect

) στις 11 Ιουλίου διαπίστωσε επίσης ότι εισβάλλει σε διακομιστές Redis που έχουν αφεθεί ευάλωτοι στη μέγιστη σοβαρότητα

CVE-2022-0543

Ευπάθεια διαφυγής Lua sandbox.

Ενώ τις τελευταίες δύο εβδομάδες ανακαλύφθηκαν 307.000 διακομιστές Redis εκτεθειμένοι στο Διαδίκτυο, μόνο 934 περιπτώσεις είναι δυνητικά ευάλωτες στις επιθέσεις αυτού του κακόβουλου λογισμικού, σύμφωνα με τους ερευνητές.

Ωστόσο, ακόμα κι αν δεν είναι όλοι επιρρεπείς στη μόλυνση, το σκουλήκι θα εξακολουθήσει να στοχεύει και να προσπαθεί να τους διακυβεύσει.

“Έχουμε πιάσει αρκετά δείγματα στην πλατφόρμα HoneyCloud, σε πολλές γεωγραφικές περιοχές και πιστεύουμε ακράδαντα ότι ο αριθμός των κόμβων P2P αυξάνεται.”

είπαν οι ερευνητές

.

“Αυτό οφείλεται στον όγκο των πιθανών στόχων – πάνω από 307.000 περιπτώσεις Redis που επικοινωνούσαν δημόσια τις τελευταίες δύο εβδομάδες – και δεδομένου ότι το worm μπόρεσε να θέσει σε κίνδυνο πολλά από τα Honeypot Redis μας σε διαφορετικές περιοχές. Ωστόσο, δεν έχουμε ακόμη εκτίμηση για το πόσοι κόμβοι υπάρχουν ή πόσο γρήγορα αναπτύσσεται το κακόβουλο δίκτυο που σχετίζεται με το P2PInfect.”

Οι στόχοι ορίζονται σε περιβάλλοντα κοντέινερ

cloud

Η επιτυχής εκμετάλλευση του ελαττώματος CVE-2022-0543 επιτρέπει στο κακόβουλο λογισμικό να αποκτήσει δυνατότητες απομακρυσμένης εκτέλεσης κώδικα σε παραβιασμένες συσκευές.

Μετά την ανάπτυξή του, το worm P2PInfect εγκαθιστά ένα πρώτο κακόβουλο ωφέλιμο φορτίο, δημιουργώντας ένα κανάλι επικοινωνίας peer-to-peer (P2P) μέσα σε ένα ευρύτερο διασυνδεδεμένο σύστημα.

Αφού συνδεθεί στο δίκτυο P2P άλλων μολυσμένων συσκευών που χρησιμοποιούνται για αυτόματη διάδοση, το worm κατεβάζει επιπλέον κακόβουλα δυαδικά αρχεία, συμπεριλαμβανομένων εργαλείων σάρωσης για να βρει άλλους εκτεθειμένους διακομιστές Redis.

«Η εκμετάλλευση του CVE-2022-0543 με αυτόν τον τρόπο καθιστά το σκουλήκι P2PInfect πιο αποτελεσματικό στη λειτουργία και τη διάδοση σε περιβάλλοντα κοντέινερ νέφους», πρόσθεσαν οι ερευνητές.

“Η ενότητα 42 πιστεύει ότι αυτή η καμπάνια P2PInfect είναι το πρώτο στάδιο μιας δυνητικά πιο ικανής επίθεσης που αξιοποιεί αυτό το ισχυρό δίκτυο εντολών και ελέγχου P2P (C2).

Οι διακομιστές Redis έχουν γίνει στόχος πολλών παραγόντων απειλών όλα αυτά τα χρόνια, οι περισσότεροι από αυτούς έχουν προστεθεί σε botnet

DDoS

και cryptojacking.

Για παράδειγμα, οι εκμεταλλεύσεις CVE-2022-0543 έχουν χρησιμοποιηθεί για αρχική πρόσβαση από άλλα botnet που στοχεύουν παρουσίες Redis, συμπεριλαμβανομένων των Muhstik και Redigo, για διάφορους κακόβουλους σκοπούς, συμπεριλαμβανομένων των επιθέσεων DDoS και brute-forcing.

Τον Μάρτιο του 2022, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) διέταξε τις ομοσπονδιακές μη στρατιωτικές υπηρεσίες να επιδιορθώσουν αυτήν την κρίσιμη ευπάθεια του Redis, αφού προστέθηκε στην εκμετάλλευση του διανομέα που χρησιμοποιούσε η συμμορία κακόβουλου λογισμικού Muhstik.

Δυστυχώς, με βάση τον μεγάλο αριθμό περιπτώσεων που εκτίθενται στο διαδίκτυο, πολλοί διαχειριστές διακομιστή Redis ενδέχεται να μην γνωρίζουν ότι το Redis δεν διαθέτει ασφαλή από προεπιλογή διαμόρφωση.

Σύμφωνα με την

επίσημη τεκμηρίωση

οι διακομιστές Redis έχουν σχεδιαστεί για κλειστά δίκτυα πληροφορικής και, ως εκ τούτου, δεν διαθέτουν μηχανισμό ελέγχου πρόσβασης ενεργοποιημένο από προεπιλογή.