今月初め、セキュリティ研究者は、インターネットに公開された Windows および Linux システム上で実行されている Redis インスタンスを標的とする、自己拡散機能を持つ新しいピアツーピア (P2P) マルウェアを発見しました。
7 月 11 日に Rust ベースのワーム ( P2PInfectという名前) を発見した Unit 42 の研究者は、このワームが最大重大度のCVE-2022-0543 Lua サンドボックス エスケープ脆弱性に対して脆弱なままになっている Redis サーバーをハッキングすることも発見しました。
研究者らによると、過去 2 週間でインターネット上に公開された 307,000 台の Redis サーバーが発見されましたが、このマルウェアの攻撃に対して潜在的に脆弱なインスタンスはわずか 934 台のみです。
ただし、全員が感染しやすいわけではないとしても、ワームは依然としてそれらをターゲットにし、侵害しようとします。
「私たちはHoneyCloudプラットフォーム内で、複数の地理的地域にわたっていくつかのサンプルを捕捉しました。そして、P2Pノードの数は増加していると強く信じています」と研究者らは述べた。
「これは、潜在的なターゲットの量(過去 2 週間で公に通信していた 307,000 を超える Redis インスタンス)と、このワームが異なるリージョンにまたがる複数の Redis ハニーポットを侵害できたためです。ただし、推定値はまだありません。存在するノードの数、または P2PInfect に関連する悪意のあるネットワークの成長の速さ。」
クラウドコンテナ環境に設定された目標
CVE-2022-0543 の欠陥の悪用に成功すると、マルウェアは侵害されたデバイス上でリモート コード実行機能を獲得できるようになります。
P2PInfect ワームは、展開後、最初の悪意のあるペイロードをインストールし、より広範な相互接続システム内にピアツーピア (P2P) 通信チャネルを作成します。
このワームは、自動増殖に使用される他の感染デバイスの P2P ネットワークに接続した後、他の公開されている Redis サーバーを見つけるためのスキャン ツールなど、追加の悪意のあるバイナリをダウンロードします。
研究者らは、「この方法でCVE-2022-0543を悪用すると、P2PInfectワームはクラウドコンテナ環境でより効果的に動作し、伝播するようになる」と付け加えた。
「Unit 42 は、この P2PInfect キャンペーンは、この堅牢な P2P コマンド アンド コントロール (C2) ネットワークを利用した、より強力な攻撃の可能性がある攻撃の第 1 段階であると考えています。」
Redis サーバーは長年にわたり多くの攻撃者の標的となっており、そのほとんどが DDoS およびクリプトジャッキング ボットネットに追加されています。
たとえば、CVE-2022-0543 エクスプロイトは、 MuhstikやRedigoなどの Redis インスタンスをターゲットとする他のボットネットによる初期アクセスに、DDoS やブルートフォース攻撃などのさまざまな悪意のある目的で使用されています。
2022 年 3 月、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) は、Muhstik マルウェア ギャングが使用するスプレッダー エクスプロイトにこの重大な Redis の脆弱性が追加された後、この重大な Redis の脆弱性にパッチを適用するよう連邦民間機関に命令しました。
残念ながら、オンラインで公開されているインスタンスの数が多いことから、多くの Redis サーバー管理者は、Redis にデフォルトで安全な構成が欠けていることに気づいていない可能性があります。
公式ドキュメントによると、Redis サーバーは閉じた IT ネットワーク用に設計されているため、デフォルトで有効になっているアクセス制御メカニズムは付属していません。
Comments