Plus tôt ce mois-ci, des chercheurs en sécurité ont découvert un nouveau malware peer-to-peer (P2P) avec des capacités d’auto-diffusion qui cible les instances Redis exécutées sur des systèmes Windows et Linux exposés à Internet.
Les chercheurs de l’Unité 42 qui ont repéré le ver basé sur Rust (nommé P2PInfect) le 11 juillet ont également découvert qu’il piratait les serveurs Redis qui ont été laissés vulnérables à la vulnérabilité d’échappement du bac à sable Lua de gravité maximale CVE-2022-0543.
Alors que plus de 307 000 serveurs Redis exposés à Internet ont été découverts au cours des deux dernières semaines, seules 934 instances sont potentiellement vulnérables aux attaques de ce malware, selon les chercheurs.
Cependant, même si tous ne sont pas sensibles à l’infection, le ver les ciblera et tentera de les compromettre.
« Nous avons capturé plusieurs échantillons au sein de notre plate-forme HoneyCloud, dans plusieurs régions géographiques, et nous croyons fermement que le nombre de nœuds P2P augmente », ont déclaré les chercheurs.
« Cela est dû au volume de cibles potentielles – plus de 307 000 instances Redis communiquant publiquement au cours des deux dernières semaines – et au fait que le ver a pu compromettre plusieurs de nos pots de miel Redis dans des régions disparates. Cependant, nous n’avons pas encore d’estimation du nombre de nœuds existants ou de la vitesse à laquelle le réseau malveillant associé à P2PInfect se développe. »
Cibles définies sur les environnements de conteneurs cloud
L’exploitation réussie de la faille CVE-2022-0543 permet au logiciel malveillant d’obtenir des capacités d’exécution de code à distance sur des appareils compromis.
Suite à son déploiement, le ver P2PInfect installe une première charge utile malveillante, créant un canal de communication peer-to-peer (P2P) au sein d’un système interconnecté plus large.
Après s’être connecté au réseau P2P d’autres appareils infectés utilisés pour la propagation automatique, le ver télécharge des fichiers binaires malveillants supplémentaires, y compris des outils d’analyse pour trouver d’autres serveurs Redis exposés.
« L’exploitation de CVE-2022-0543 de cette manière rend le ver P2PInfect plus efficace pour fonctionner et se propager dans des environnements de conteneurs cloud », ont ajouté les chercheurs.
« L’unité 42 pense que cette campagne P2PInfect est la première étape d’une attaque potentiellement plus performante qui tire parti de ce réseau de commande et de contrôle (C2) P2P robuste. »
Les serveurs Redis ont été ciblés par de nombreux acteurs de la menace au fil des ans, la plupart d’entre eux étant ajoutés aux DDoS et aux botnets de cryptojacking.
Par exemple, les exploits CVE-2022-0543 ont été utilisés pour l’accès initial par d’autres botnets ciblant des instances Redis, notamment Muhstik et Redigo, à diverses fins malveillantes, notamment des attaques DDoS et des attaques par force brute.
En mars 2022, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences civiles fédérales de corriger cette vulnérabilité Redis critique après son ajout à l’exploit de propagation utilisé par le gang de logiciels malveillants Muhstik.
Malheureusement, compte tenu du grand nombre d’instances exposées en ligne, de nombreux administrateurs de serveur Redis peuvent ne pas savoir que Redis ne dispose pas d’une configuration sécurisée par défaut.
Selon la documentation officielle, les serveurs Redis sont conçus pour les réseaux informatiques fermés et ne sont donc pas dotés d’un mécanisme de contrôle d’accès activé par défaut.