Un nuevo gusano infecta instancias de Redis a través de la vulnerabilidad Lua
El gusano, P2PInfect, funciona en todas las plataformas y es resistente a los derribos. Podría ser la primera etapa de un ataque mayor.
Los investigadores han descubierto un nuevo gusano que infecta los servidores que ejecutan el sistema de almacenamiento en memoria Redis al explotar una vulnerabilidad conocida en su subcomponente Lua. Apodado P2PInfect, está escrito en Rust y utiliza una red y un protocolo de comunicación entre pares (P2P) personalizado, según un informe de Unit42 de Palo Alto Networks. “Pensamos que esta campaña es la primera etapa de un ataque potencialmente más capaz que aprovecha esta robusta red de comando y control P2P. Hay instancias de la palabra ‘minero’ dentro de su conjunto de herramientas maliciosas. Sin embargo, los investigadores no encontraron ninguna evidencia definitiva de que alguna vez ocurrieran operaciones de criptominería”.
Lua es un lenguaje de programación multiplataforma y un motor de secuencias de comandos que comúnmente se integra como una biblioteca de espacio aislado en las aplicaciones para permitir la compatibilidad con secuencias de comandos. Este también es el caso de Redis, que permite a sus usuarios cargar y ejecutar secuencias de comandos de Lua en el servidor para una mayor funcionalidad.
Si bien las instancias de Redis han sido infectadas por actores maliciosos y botnets anteriormente, esto se logró principalmente mediante la explotación de vulnerabilidades o configuraciones incorrectas en el propio Redis. Mientras tanto, el gusano P2PInfect también explota una vulnerabilidad crítica de Lua sandbox, rastreada como CVE-2022-0543, que afecta específicamente a los paquetes Redis en Debian Linux.
Según los investigadores de la Unidad 42, actualmente se puede acceder a más de 307.000 instancias de Redis desde Internet, pero solo un pequeño subconjunto de alrededor de 900 es vulnerable a esta falla. Sin embargo, el gusano intentará sondear e infectar todas las instancias públicas.
“La explotación de CVE-2022-0543 hace que P2PInfect sea efectivo en entornos de contenedores en la nube”, dijeron los investigadores. “Los contenedores tienen un conjunto reducido de funcionalidades. Por ejemplo, no tienen servicios 'cron'. Muchos de los gusanos más activos que explotan Redis utilizan una técnica para lograr la ejecución remota de código (RCE) mediante servicios cron. Esta técnica no funciona en contenedores. P2PInfect incorpora el exploit para CVE-2022-0543 con la intención de cubrir tantos escenarios vulnerables como sea posible, incluidos los entornos de contenedores en la nube”.
En un análisis separado realizado por investigadores de Cado Security Labs, se observó un vector de infección diferente. Los investigadores de Cado también tenían uno de sus servidores trampa de Redis comprometido por el gusano P2Pinfect, pero en lugar de usar la vulnerabilidad CVE-2022-0543 para ingresar, los atacantes explotaron la función de replicación de Redis.
La función de replicación permite que los nodos de Redis funcionen como esclavos de un nodo maestro designado. Esta función se puede activar con un comando llamado SLAVEOF y hará que el nodo se convierta en una réplica del maestro. Se sabe que varios grupos de atacantes utilizaron esta técnica en el pasado contra instancias de Redis expuestas públicamente al conectarse a ellas y convertirlas en esclavas de instancias maliciosas de Redis bajo su control.
El beneficio de esta técnica es que los atacantes pueden insertar un archivo de objeto compartido de Linux en su modo maestro que se replicará en los esclavos comprometidos y que luego se puede cargar como un módulo en los esclavos con el comando MODULE LOAD. Los módulos están destinados a ampliar la funcionalidad de Redis y, en este caso, los atacantes diseñaron un módulo que les proporcionó acceso de shell inverso e implementaron un comando llamado system.exec que les permitió ejecutar comandos de shell arbitrarios en los sistemas de las víctimas.
