Segundo os pesquisadores da Unit 42 (que descobriram a ameaça), o novo malware worm P2PInfect mira em servidores Redis.
No início deste mês, pesquisadores de segurança descobriram um novo malware peer-to-peer (P2P) com recursos de autodifusão que visa instâncias Redis em execução em sistemas Windows e Linux expostos à Internet.
Novo malware worm P2PInfect mira em servidores Redis
Os pesquisadores da Unit 42 que detectaram o worm baseado em Rust (chamado P2PInfect) em 11 de julho também descobriram que ele invade servidores Redis que ficaram vulneráveis à vulnerabilidade de fuga de sandbox Lua CVE-2022-0543 de gravidade máxima.
Embora mais de 307.000 servidores Redis expostos à Internet tenham sido descobertos nas últimas duas semanas, apenas 934 instâncias são potencialmente vulneráveis aos ataques desse malware, de acordo com os pesquisadores.
No entanto, mesmo que nem todos sejam suscetíveis à infecção, o worm ainda terá como alvo e tentará comprometê-los.
“Pegamos várias amostras em nossa plataforma HoneyCloud, em várias regiões geográficas, e acreditamos fortemente que o número de nós P2P está crescendo”, disseram os pesquisadores.
“Isso se deve ao volume de possíveis alvos – mais de 307.000 instâncias Redis se comunicando publicamente nas últimas duas semanas – e porque o worm foi capaz de comprometer vários de nossos honeypots Redis em regiões diferentes. No entanto, ainda não temos uma estimativa de quantos nós existem ou com que rapidez a rede maliciosa associada ao P2PInfect está crescendo.”
A exploração bem-sucedida da falha CVE-2022-0543 permite que o malware obtenha recursos de execução remota de código em dispositivos comprometidos.
Após sua implantação, o worm P2PInfect instala uma primeira carga maliciosa, criando um canal de comunicação ponto a ponto (P2P) dentro de um sistema interconectado mais amplo.
Depois de se conectar à rede P2P de outros dispositivos infectados usados para propagação automática, o worm baixa binários maliciosos adicionais, incluindo ferramentas de varredura para encontrar outros servidores Redis expostos.
“A exploração do CVE-2022-0543 dessa maneira torna o worm P2PInfect mais eficaz na operação e propagação em ambientes de contêiner em nuvem”, acrescentaram os pesquisadores.
“A Unidade 42 acredita que esta campanha P2PInfect é o primeiro estágio de um ataque potencialmente mais capaz que aproveita esta robusta rede P2P de comando e controle (C2).”
Os servidores Redis foram alvo de muitos agentes de ameaças ao longo dos anos, a maioria deles adicionados a DDoS e botnets de cryptojacking.
Por exemplo, as explorações CVE-2022-0543 foram usadas para acesso inicial por outras redes de bots direcionadas a instâncias Redis, incluindo Muhstik e Redigo, para vários fins maliciosos, incluindo DDoS e ataques de força bruta.
Em março de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) ordenou que as agências civis federais corrigissem essa vulnerabilidade crítica do Redis depois que ela foi adicionada à exploração do espalhador usada pela gangue de malware Muhstik.
Infelizmente, com base no grande número de instâncias expostas online, muitos administradores de servidores Redis podem não estar cientes de que o Redis não possui uma configuração segura por padrão.
De acordo com a documentação oficial, os servidores Redis são projetados para redes de TI fechadas e, portanto, não vêm com um mecanismo de controle de acesso habilitado por padrão.
