Um worm peer-to-peer (P2P) recém-descoberto tem como alvo os servidores Redis que são vulneráveis a um bug de escape da sandbox Lua de um ano, alerta a empresa de segurança cibernética Palo Alto Networks.
Escrito na linguagem de programação Rust, o novo Verme P2PInfect foi observado explorando servidores Redis sem patch para instalar um conta-gotas e estabelecer comunicação P2P. Binários adicionais são implantados, incluindo scripts e ferramentas de varredura para identificar outras instâncias vulneráveis e propagar o worm.
De acordo com a Palo Alto Networks, existem mais de 300.000 servidores Redis expostos à Internet, com mais de 900 deles vulneráveis ao worm P2PInfect. O malware tem como alvo as instâncias do Windows e do Linux.
Para a infecção inicial, o worm explora o CVE-2022-0543 (pontuação CVSS de 10), um problema de sanitização insuficiente na biblioteca Lua. Como a biblioteca é vinculada dinamicamente em alguns pacotes do Linux, a vulnerabilidade pode levar ao escape da sandbox e à execução remota de código.
As instâncias Redis infectadas com P2PInfect são adicionadas a uma “rede P2P para fornecer acesso a outras cargas para futuras instâncias Redis comprometidas”, observa a Palo Alto Networks.
Essa técnica de exploração permite que o worm seja eficaz na propagação em ambientes de contêiner em nuvem, provavelmente na preparação de um “ataque mais capaz que aproveita essa rede robusta de comando e controle (C2) P2P”.
De acordo com a Palo Alto Networks, servidores infectados foram observados verificando instâncias adicionais do Redis, mas também realizando varreduras na porta SSH 22.
A empresa de segurança cibernética também descobriu que o worm descarta um script do PowerShell que mantém a comunicação com a rede P2P e que modifica o firewall local para bloquear o acesso legítimo.
“O design e a construção de uma rede P2P para realizar a propagação automática de malware não é algo comumente visto no cenário de ameaças de segmentação em nuvem ou cryptojacking. Ao mesmo tempo, acreditamos que foi desenvolvido especificamente para comprometer e oferecer suporte ao maior número possível de instâncias vulneráveis do Redis em várias plataformas”, observa a Palo Alto Networks.
Patches para CVE-2022-0543, que foi explorado anteriormente em ataques Muhstik e Redigo, foram lançados em abril de 2022. Os administradores do servidor Redis são aconselhados a corrigir suas instâncias o mais rápido possível.