Les administrateurs informatiques disposant de la base de données open source Redis dans leurs environnements sont prévenus d’un nouveau ver peer-to-peer (P2P) ciblant les serveurs Windows et Linux exécutant l’application.
Les chercheurs de Palo Alto Networks ont surnommé P2PInfect ce maliciel qu’ils ont trouvé la semaine dernière, affirmant que 934 instances Redis non corrigées ouvertes sur Internet pourraient être vulnérables.
Il infecte les instances Redis vulnérables en exploitant la vulnérabilité d’échappement du bac à sable Lua, CVE-2022-0543. Bien que la vulnérabilité ait été révélée en 2022, selon les chercheurs, sa portée n’est pas entièrement connue à ce stade. Cependant, elle est classée dans la base de données nationale des vulnérabilités du NIST avec un score CVSS critique de 10,0.
De plus, selon le rapport, le fait que P2PInfect exploite les serveurs Redis fonctionnant à la fois sur les systèmes d’exploitation Linux et Windows le rend plus évolutif et plus puissant que les autres vers.
Tous les échantillons du ver P2P collectés par les chercheurs sont écrits en Rust, un langage de programmation hautement évolutif et compatible avec le nuage. Cela permet au ver d’être capable d’infections multiplateformes qui ciblent les instances Redis sur les systèmes d’exploitation Linux et Windows.
Après l’infection initiale en exploitant la vulnérabilité Lua, une charge utile initiale est exécutée qui établit une communication P2P avec le plus grand botnet C2, qui sert de réseau P2P pour fournir d’autres charges utiles aux futures instances Redis compromises, indique le rapport. Une fois la connexion P2P établie, le ver extrait des charges utiles supplémentaires, comme un scanner. L’instance nouvellement infectée rejoint alors les rangs du réseau P2P pour fournir des charges utiles d’analyse aux futures instances Redis compromises.
L’exploitation de cette vulnérabilité rend P2PInfect efficace dans les environnements de conteneurs en nuage, ajoute le rapport.
Les chercheurs pensent que cette campagne P2PInfect est la première étape d’une attaque potentiellement plus performante qui exploite ce réseau de commande et de contrôle (C2) P2P robuste. Il existe des instances du mot « mineur » dans la boîte à outils de piratage de P2PInfect. Cependant, les chercheurs n’ont trouvé aucune preuve définitive que des opérations de crypto minage aient jamais eu lieu. De plus, le réseau P2P semble posséder plusieurs fonctionnalités C2 telles que la « mise à jour automatique » qui permettrait aux contrôleurs du réseau P2P de pousser de nouvelles charges utiles dans le réseau qui pourraient modifier et améliorer les performances de l’une des opérations de piratage.
La conception et la construction d’un réseau P2P pour effectuer la propagation automatique des logiciels malveillants ne sont pas quelque chose de courant dans le paysage des menaces de ciblage infonuagique ou de « cryptojacking », indique le rapport. « En outre, nous pensons qu’il a été spécialement conçu pour compromettre et prendre en charge autant d’instances vulnérables Redis que possible sur plusieurs plates-formes. »
Les administrateurs Redis doivent surveiller toutes les applications Redis, indique le rapport, à la fois sur site et dans les environnements infonuagiques, pour s’assurer qu’elles ne contiennent pas de noms de fichiers aléatoires dans le répertoire /tmp. De plus, le personnel de développement et exploitation doit surveiller en permanence les instances Redis pour s’assurer qu’elles maintiennent des opérations légitimes et maintiennent l’accès au réseau. Enfin, toutes les instances Redis doivent également être mises à jour vers leurs dernières versions.
Adaptation et traduction française par Renaud Larue-Langlois.
