Червь P2PInfect, атакующий серверы Redis

Исследователи из группы Unit 42 обнаружили новый червь P2PInfect, создающий свою P2P-сеть для распространения вредоносного ПО без применения централизованных управляющих серверов. После компрометации хост подключается к созданной P2P-сети, загружает образ с реализацией P2PInfect для необходимой операционной системы (поддерживается Linux и Windows) и переходит в режим сканирования других уязвимых хостов для совершения на них атаки и включения их в цепочку распространения червя. При сканировании выявляются уязвимые серверы Redis и проверяется наличие доступа по SSH. Код червя написан на языке Rust.

В сети исследователями выявлено более 307 тысяч публично доступных хостов с Redis, из которых 934 уязвимы для атаки червём и возможно уже поражены им. Для атаки на Linux-системы используется исправленная в апреле прошлого года критическая уязвимость (CVE-2022-0543) в пакетах с Redis для Ubuntu и Debian, позволяющая выполнить произвольный код на языке Lua на удалённом сервере и обойти механизм sandbox-изоляции окружения для выполнения скриптов в Redis. Проблема специфична для сборок Debian и Ubuntu, и не связана самим Redis: в пакетах из Debian статическое связывание с Lua заменено на динамическое и некорректно отключена возможность загрузки библиотек Lua.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59473