Специалисты Palo Alto Networks Unit 42 обнаружили P2P-червя, нацеленного на серверы Redis. Малварь P2PInfect обладает способностями к самораспространению и атакует установки Redis, работающие в системах под управлением Windows и Linux.
Исследователи сообщают, что заметили написанного на Rust червя 11 июля 2023 года. Он взламывает серверы Redis, которые уязвимы перед проблемой CVE-2022-0543 и позволяют осуществить побег из песочницы, а также выполнить произвольный код.
Данная уязвимость была обнаружена и исправлена еще в феврале прошлого года, однако хакеры продолжают использовать ее против непропатченных систем, так как далеко не все устанавливают исправления вовремя, а PoC-эксплоит для этой проблемы свободно доступен.
По словам исследователей, хотя за последние две недели в интернете было выявлено около 307 000 серверов Redis, только 934 из них потенциально уязвимы для атак P2PInfect. Но несмотря на то, что далеко не все серверы восприимчивы к заражению, червь все равно атакует их и пытается скомпрометировать. Пока эксперты говорят, что не могут оценить, насколько быстро растет вредоносная сеть, связанная с P2PInfect.
Успешная эксплуатация уязвимости CVE-2022-0543 позволяет малвари удаленно выполнять произвольный код на скомпрометированных устройствах. В итоге после развертывания червь устанавливает первую полезную нагрузку и создает канал peer-to-peer связи.
После подключения к P2P-сети из других зараженных устройств, используемых для автоматического распространения малвари, P2PInfect скачивает дополнительные вредоносные бинарники (в том числе инструменты для сканирования, которые помогают найти другие доступные серверы Redis).
«Эксплуатация CVE-2022-0543 делает червя P2PInfect более эффективным при работе и распространении в средах облачных контейнеров. Palo Alto Networks считает, что эта кампания является первой фазой более мощной атаки, которая использует эту надежную P2P-сеть в качестве C&C», — говорят исследователи.
Стоит отметить, что это уже не первый случай эксплуатации уязвимости CVE-2022-0543 злоумышленниками для различных целей, включая DDoS- и брутфос-атаки. К примеру, в конце 2022 года именно эту проблему для компрометации серверов Redis использовал вредонос Redigo. Также в прошлом году уязвимость успешно эксплуатировала малварь Muhstik.
