Исследователи из группы Unit 42 обнаружили новый червь P2PInfect, создающий свою P2P-сеть для распространения вредоносного ПО без применения централизованных управляющих серверов. После компрометации хост подключается к созданной P2P-сети, загружает образ с реализацией P2PInfect для необходимой операционной системы (поддерживается Linux и Windows) и переходит в режим сканирования других уязвимых хостов для совершения на них атаки и включения их в цепочку распространения червя. При сканировании выявляются уязвимые серверы Redis и проверяется наличие доступа по SSH. Код червя написан на языке Rust.
В сети исследователями выявлено более 307 тысяч публично доступных хостов с Redis, из которых 934 уязвимы для атаки червём и возможно уже поражены им. Для атаки используется исправленная в апреле прошлого года критическая уязвимость (CVE-2022-0543) в пакетах с Redis для Ubuntu и Debian, позволяющая выполнить произвольный код на языке Lua на удалённом сервере и обойти механизм sandbox-изоляции окружения для выполнения скриптов в Redis. Проблема специфична для сборок Debian и Ubuntu, и не связана самим Redis: в пакетах из Debian статическое связывание с Lua заменено на динамическое и некорректно отключена возможность загрузки библиотек Lua.
// cc-by opennet.ru
// converted with crypt’s opennet autoreposter
>>> Подробности
