Una prueba o una campaña dirigida. Los expertos de Palo Alto se inclinan por la primera solución respecto a un gusano que afecta a instancias de Redis, un DBMS en memoria. Llamado P2PInfect, el gusano, escrito en Rust, utiliza un protocolo de comunicación personalizado y una red punto a punto (P2P). Explota una vulnerabilidad conocida en el idioma Lua.

Según la Unidad 42 (actividad de investigación de Palo Alto)"Esta campaña P2PInfect prepara un ataque potencialmente más poderoso aprovechando una sólida red punto a punto de servidores de comando y control". El informe agrega que "la palabra 'minero' está presente en el conjunto de herramientas de malware de P2PInfect, aunque los investigadores no encontraron evidencia formal de que se hayan implementado operaciones de criptominería".

Índice
  1. La vulnerable zona de pruebas de Lua
  2. Malware multiplataforma y resistente

La vulnerable zona de pruebas de Lua

Normalmente, el lenguaje de programación multiplataforma y el motor de secuencias de comandos Lua se integran como una biblioteca de espacio aislado en aplicaciones para soporte de secuencias de comandos. Este también es el caso de Redis, que ofrece a sus usuarios descargar y ejecutar scripts Lua en el servidor para ampliar sus funcionalidades. Hasta ahora, la infección de instancias de Redis por parte de actores maliciosos y botnets era principalmente el resultado de la explotación de vulnerabilidades o errores de configuración en el propio Redis. Pero el gusano P2PInfect también explota una vulnerabilidad crítica en el entorno limitado de Lua, con referencia CVE-2022-0543, que afecta específicamente a los paquetes Redis en Debian Linux. Según los investigadores de la Unidad 42, actualmente se puede acceder a más de 307.000 instancias de Redis en Internet, pero sólo un pequeño subconjunto de alrededor de 900 es vulnerable a esta falla. Lo cierto es que el gusano intentará sondear e infectar a todas las autoridades públicas. "La explotación de la vulnerabilidad CVE-2022-0543 hace que P2PInfect sea eficaz en entornos de contenedores en la nube", dijeron los investigadores. “Los contenedores vienen con un conjunto reducido de características. Por ejemplo, no tienen servicios 'cron'. Muchos de los gusanos más activos que explotan Redis utilizan una técnica RCE que utiliza servicios cron. Este proceso no funciona en contenedores. P2PInfect integra el exploit dirigido a CVE-2022-0543 para cubrir tantos escenarios vulnerables como sea posible, incluidos los entornos de contenedores en la nube”.

En un análisis separado, los investigadores de Cado Networks observaron un vector de infección diferente. También vieron que uno de sus servidores redis honeypot había sido comprometido por el gusano P2Pinfect. Pero en lugar de utilizar la vulnerabilidad CVE-2022-0543 para ingresar, los atacantes explotaron la función de replicación de Redis, que permite a los nodos de Redis operar como esclavos de un nodo maestro designado. Esta funcionalidad se puede activar mediante un comando llamado SLAVEOF que convierte el nodo en una réplica del nodo maestro. En el pasado, varios grupos de atacantes han utilizado esta técnica contra instancias de Redis expuestas públicamente conectándose a ellas y convirtiéndolas en esclavas de instancias de Redis comprometidas. La ventaja de este método es que los atacantes pueden insertar un archivo de objeto compartido de Linux en su modo maestro que será replicado en los esclavos comprometidos y luego podrá cargarse como un módulo en los esclavos con el comando MODULE LOAD. Los módulos pretenden ampliar la funcionalidad de Redis y, en este caso, los atacantes han diseñado uno con el que pueden acceder al shell inverso e implementar un comando llamado sistema.exec. De este modo pudieron ejecutar comandos de shell arbitrarios en los sistemas de las víctimas.

Malware multiplataforma y resistente

Una vez que se implementa el cuentagotas principal de P2PInfect, se conecta a la red P2P y descarga información sobre el protocolo de comunicación personalizado, que se ejecuta en TLS 1.3, así como una lista de nodos activos en la red. También actualiza la red con su propia información y elige un puerto de comunicación aleatorio. El hecho de que el gusano utilice un protocolo de control y comando punto a punto y números de puerto aleatorios para cada nodo lo hace resistente a los intentos de eliminación porque no existe un punto central de falla. Sus comunicaciones también son más difíciles de bloquear mediante firewalls, porque no existe un puerto específico para detener su tráfico. El gusano está escrito en Rust, un moderno lenguaje de programación multiplataforma conocido por su memoria y seguridad de tipos, lo que lo ha hecho popular en las grandes empresas. Los investigadores pudieron observar el dropper P2PInfect infectando instancias de Redis en Linux y Windows e implementando cargas útiles adicionales escritas en Rust. Algunos de ellos llevan el nombre Linux, socavar, minero ganador Y ventanas.

En los sistemas Windows, los investigadores de Palo Alto también vieron la implementación de otro componente llamado Monitor, que permite la persistencia y garantiza que el gusano se esté ejecutando. Después de implementar sus componentes adicionales, el gusano comienza inmediatamente a buscar instancias vulnerables de Redis, pero también busca rangos aleatorios de direcciones IP para el puerto 22, normalmente asociado con SSH. No está claro por qué se está escaneando este puerto, ya que los investigadores no han encontrado ninguna evidencia de que el bot esté intentando explotar o conectarse a otros sistemas a través de SSH, al menos no todavía. “Recomendamos que las empresas supervisen todas las aplicaciones de Redis, tanto locales como en entornos de nube, para asegurarse de que no contengan nombres de archivos aleatorios en el directorio. /tmp “, dijeron los investigadores. “Además, el personal de DevOps debe monitorear continuamente sus instancias de Redis para asegurarse de que mantienen operaciones legítimas y conservan el acceso a la red. Todas las instancias de Redis también deben actualizarse a su última versión o cualquier versión posterior a redis/5:6.0.16-1+deb11u2, redis/5:5.0.14-1+deb10u2, redis/5:6.0.16 -2 y redis/5:7.0~rc2-2”.

P2PInfect es el último de una serie de botnets autopropagantes que apuntan a tecnologías de nube y contenedores. Los investigadores de Aqua Security documentaron recientemente otro gusano, denominado Silentbob, que apunta a clústeres de Kubernetes, API de Docker, instancias de Weave Scope, implementaciones de JupyterLab y Jupyter Notebook, servidores Redis y clústeres de Hadoop.