Pesquisadores de segurança descobriram no início desse mês um novo malware peer-to-peer (P2P), o worm P2PInfect, com recursos de autodifusão que visa instâncias Redis em execução em sistemas Windows e Linux expostos à Internet.
Malware worm P2PInfect mirando em servidores Linux e Redis
Os pesquisadores da Unidade 42 que detectaram o worm baseado em Rust (chamado P2PInfect) em 11 de julho também descobriram que ele invade servidores Redis que ficaram vulneráveis ??à vulnerabilidade de fuga de sandbox Lua CVE-2022-0543 de gravidade máxima. Embora mais de 307.000 servidores Redis expostos à Internet tenham sido descobertos nas últimas duas semanas, apenas 934 instâncias são potencialmente vulneráveis ??a ataques desse malware, de acordo com os pesquisadores.
No entanto, mesmo que nem todos sejam suscetíveis à infecção, o worm ainda terá como alvo e tentará comprometê-los.
Pegamos várias amostras em nossa plataforma HoneyCloud, em várias regiões geográficas, e acreditamos fortemente que o número de nós P2P está crescendo.
Isso se deve ao volume de possíveis alvos – mais de 307.000 instâncias Redis se comunicando publicamente nas últimas duas semanas – e porque o worm foi capaz de comprometer vários de nossos honeypots Redis em regiões diferentes. No entanto, ainda não temos uma estimativa de quantos nós existem ou com que rapidez a rede maliciosa associada ao P2PInfect está crescendo.
Alvos definidos em ambientes de contêiner de nuvem
A exploração bem-sucedida da falha CVE-2022-0543 permite que o malware obtenha recursos de execução remota de código em dispositivos comprometidos. Após sua implantação, o worm P2PInfect instala uma primeira carga maliciosa, criando um canal de comunicação ponto a ponto (P2P) dentro de um sistema interconectado mais amplo.
Depois de se conectar à rede P2P de outros dispositivos infectados usados ??para propagação automática, o worm baixa binários maliciosos adicionais, incluindo ferramentas de varredura para encontrar outros servidores Redis expostos.
Os servidores Redis foram alvo de muitos agentes de ameaças ao longo dos anos, a maioria deles adicionados a DDoS e botnets de cryptojacking. Por exemplo, as explorações CVE-2022-0543 foram usadas para acesso inicial por outras botnets direcionadas a instâncias Redis, incluindo Muhstik e Redigo , para vários fins maliciosos, incluindo DDoS e ataques de força bruta.
Em março de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) ordenou que as agências civis federais corrigissem essa vulnerabilidade crítica do Redis depois que ela foi adicionada à exploração do espalhador usada pela gangue de malware Muhstik.
Infelizmente, com base no grande número de instâncias expostas online, muitos administradores de servidores Redis podem não estar cientes de que o Redis não possui uma configuração segura por padrão. De acordo com a documentação oficial, os servidores Redis são projetados para redes de TI fechadas e, portanto, não vêm com um mecanismo de controle de acesso habilitado por padrão.