Νωρίτερα αυτό το μήνα, ερευνητές ασφαλείας ανακάλυψαν το νέο κακόβουλο λογισμικό peer-to-peer (P2P) P2PInfect με δυνατότητες αυτοδιάδοσης που στοχεύει Redis instances που εκτελούνται σε συστήματα Windows και Linux που είναι εκτεθειμένα στο διαδίκτυο.
Στις 11 Ιουλίου, οι ερευνητές της Unit 42 εντόπισαν ένα worm βασισμένο σε Rust (με την ονομασία P2PInfect) που εισβάλλει σε Redis servers οι οποίοι έχουν παραμείνει ευάλωτοι στην ευπάθεια μέγιστης σοβαρότητας CVE-2022-0543 Lua sandbox escape.
Τις τελευταίες δύο εβδομάδες, 307.000 εκτεθειμένοι Redis servers έχουν ανακαλυφθεί στο διαδίκτυο, ωστόσο, σύμφωνα με τους ερευνητές, μόνο 934 από αυτά τα instances είναι δυνητικά ευάλωτα σε επιθέσεις από αυτό το κακόβουλο λογισμικό.
Ωστόσο, ακόμη και αν δεν είναι όλα ευάλωτα στη μόλυνση, το worm εξακολουθεί να στοχεύει και να προσπαθεί να τους θέσει σε κίνδυνο.
Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη
StealC: Κατάχρηση kiosk mode του browser για κλοπή password
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
Οι στόχοι έχουν τεθεί σε περιβάλλοντα cloud container
Η επιτυχής εκμετάλλευση του ελαττώματος CVE-2022-0543 επιτρέπει στο κακόβουλο λογισμικό να αποκτήσει δυνατότητες απομακρυσμένης εκτέλεσης κώδικα σε παραβιασμένες συσκευές.
Μετά την ανάπτυξή του, το P2PInfect worm εγκαθιστά ένα πρώτο κακόβουλο ωφέλιμο φορτίο, δημιουργώντας ένα κανάλι επικοινωνίας peer-to-peer (P2P) σε ένα ευρύτερο διασυνδεδεμένο σύστημα.
Αφού συνδεθεί στο δίκτυο P2P άλλων μολυσμένων συσκευών που χρησιμοποιούνται για την αυτόματη διάδοση, το worm κατεβάζει πρόσθετα κακόβουλα δυαδικά προγράμματα, συμπεριλαμβανομένων εργαλείων σάρωσης για την εύρεση άλλων εκτεθειμένων Redis servers.
Με την πάροδο των ετών, πολλοί απειλητικοί φορείς έχουν βάλει στο στόχαστρο τους Redis servers, προσθέτοντάς τους σε DDoS botnets και cryptojacking.
Για παράδειγμα, τα exploits του CVE-2022-0543 έχουν χρησιμοποιηθεί για αρχική πρόσβαση από άλλα botnets που στοχεύουν σε Redis instances, όπως το Muhstik και το Redigo, για διάφορους κακόβουλους σκοπούς, συμπεριλαμβανομένων επιθέσεων DDoS και brute-forcing.
Τον Μάρτιο του 2022, ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) διέταξε τις ομοσπονδιακές πολιτικές υπηρεσίες να επιδιορθώσουν μια κρίσιμη ευπάθεια στο Redis, η οποία είχε προστεθεί στο exploit εξάπλωσης που χρησιμοποιούσε η συμμορία κακόβουλου λογισμικού Muhstik.
Δυστυχώς, με βάση τον μεγάλο αριθμό των περιπτώσεων που εκτίθενται στο διαδίκτυο, πολλοί διαχειριστές διακομιστών Redis μπορεί να μην γνωρίζουν ότι ο Redis δεν διαθέτει μια ασφαλής από προεπιλογή διαμόρφωση.
Σύμφωνα με την επίσημη τεκμηρίωση, οι Redis servers έχουν σχεδιαστεί για κλειστά δίκτυα πληροφορικής και, ως εκ τούτου, δεν διαθέτουν μηχανισμό ελέγχου πρόσβασης ενεργοποιημένο από προεπιλογή.
Πηγή πληροφοριών: bleepingcomputer.com