A principios de este mes, los investigadores de seguridad descubrieron un nuevo malware peer-to-peer (P2P) con capacidades de autopropagación que apunta a las instancias de Redis que se ejecutan en sistemas Windows y Linux expuestos a Internet.
Los investigadores de la Unidad 42 que detectaron el gusano basado en Rust (llamado P2PInfect ) el 11 de julio también descubrieron que piratea los servidores de Redis que han quedado expuestos a la vulnerabilidad de escape de sandbox de máxima gravedad CVE-2022-0543 Lua.
Si bien se han descubierto más de 307,000 servidores Redis expuestos a Internet en las últimas dos semanas, solo 934 instancias son potencialmente vulnerables a los ataques de este malware, según los investigadores.
Sin embargo, incluso si no todos son susceptibles a la infección, el gusano aún los atacará e intentará comprometerlos.
"Hemos capturado varias muestras dentro de nuestra plataforma HoneyCloud, en múltiples regiones geográficas, y creemos firmemente que la cantidad de nodos P2P está creciendo", dijeron los investigadores .
"Esto se debe al volumen de objetivos potenciales (más de 307,000 instancias de Redis que se comunican públicamente durante las últimas dos semanas) y dado que el gusano pudo comprometer varios de nuestros honeypots de Redis en regiones dispares. Sin embargo, aún no tenemos una estimación de cuántos nodos existen o qué tan rápido está creciendo la red maliciosa asociada con P2PInfect".
Objetivos establecidos en entornos de contenedores en la nube
La explotación exitosa de la falla CVE-2022-0543 permite que el malware obtenga capacidades de ejecución remota de código en dispositivos comprometidos.
Luego de su implementación, el gusano P2PInfect instala una primera carga maliciosa, creando un canal de comunicación entre pares (P2P) dentro de un sistema interconectado más amplio.
Después de conectarse a la red P2P de otros dispositivos infectados utilizados para la autopropagación, el gusano descarga archivos binarios maliciosos adicionales, incluidas herramientas de escaneo para encontrar otros servidores Redis expuestos.
"Explotar CVE-2022-0543 de esta manera hace que el gusano P2PInfect sea más efectivo para operar y propagarse en entornos de contenedores en la nube", agregaron los investigadores.
"Unit 42 cree que esta campaña P2PInfect es la primera etapa de un ataque potencialmente más capaz que aprovecha esta sólida red de comando y control (C2) P2P".
Los servidores Redis han sido blanco de muchos actores de amenazas a lo largo de los años, la mayoría de ellos se agregaron a DDoS y botnets de cryptojacking.
Por ejemplo, los exploits CVE-2022-0543 se han utilizado para el acceso inicial de otras redes de bots dirigidas a instancias de Redis, incluidos Muhstik y Redigo , con diversos fines maliciosos, incluidos DDoS y ataques de fuerza bruta.
En marzo de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) ordenó a las agencias civiles federales que parchearan esta vulnerabilidad crítica de Redis después de que se agregara al exploit de propagación utilizado por la pandilla de malware Muhstik.
Desafortunadamente, según la gran cantidad de instancias expuestas en línea, es posible que muchos administradores de servidores de Redis no sepan que Redis carece de una configuración segura por defecto.
Según la documentación oficial , los servidores Redis están diseñados para redes de TI cerradas y, por lo tanto, no vienen con un mecanismo de control de acceso habilitado de forma predeterminada.
Actualización 20 de julio: Redis envió la siguiente declaración después de la publicación del artículo.
Como la base de datos en memoria más popular del mundo, no sorprende que las instalaciones de Redis sean con frecuencia el objetivo de los actores de amenazas, y nos complace ver que los investigadores de seguridad cibernética trabajan activamente para encontrar a estos malos actores. Hemos visto anteriormente otro malware creado para aprovechar CVE-2022-0543 , una vulnerabilidad creada por cómo ciertas versiones de Debian Linux empaquetan el motor Lua para Redis de código abierto. El software Redis Enterprise incluye una versión reforzada del módulo Lua que no es susceptible a esta vulnerabilidad. Como tal, los clientes que ejecutan el software con licencia de Redis Enterprise no están en riesgo de CVE-2022-0543 y P2PInfect. Se alienta a los usuarios de Redis de código abierto a utilizar las distribuciones oficiales disponibles directamente desde redis.io . — Redis
