Posté le juillet 20, 2023 à 7:25

UN NOUVEAU LOGICIEL MALVEILLANT P2PINFECT CIBLE LES INSTANCES REDIS SUR LES SERVEURS LINUX ET WINDOWS

Des chercheurs en cybersécurité ont détecté un nouveau logiciel malveillant peer-to-peer (P2P) qui contient des capacités d’autodiffusion. Le logiciel malveillant est utilisé pour cibler les instances Redis qui fonctionnent sur des systèmes Linux et Windows exposés à Internet. Le logiciel malveillant représente un risque important pour ces systèmes.

Le nouveau logiciel malveillant P2PInfect cible les serveurs Linux et Windows

Les chercheurs d’Unit 42 ont détecté le ver basé sur Rust, nommé P2PInfect, le 11 juillet. Ces chercheurs ont également détecté que le logiciel malveillant du ver est utilisé pour mener des campagnes de piratage ciblant les serveurs Redis qui sont vulnérables aux attaques.

Le logiciel malveillant ver est utilisé pour mener des campagnes de piratage qui exploitent la vulnérabilité repérée sous le nom de CVE-2022-0543. Cette faille est aussi connue sous le nom de Lua Sandbox Escape. Cette faille représente un risque majeur pour le système ciblé, étant donné que les chercheurs estiment que les piratages ont une large portée.

Au cours des deux dernières semaines, les chercheurs ont détecté 307 000 serveurs Redis exposés à l’internet. Cependant, malgré le nombre élevé de serveurs découverts, il n’y a que 934 instances qui sont potentiellement vulnérables aux attaques malveillantes effectuées à l’aide de ce logiciel malveillant, selon les chercheurs en cybersécurité.

En outre, tous les serveurs ne sont pas susceptibles d’être infectés par des acteurs malveillants. Néanmoins, les logiciels malveillants cibleront toujours ces serveurs pour tenter de les compromettre. Les chercheurs ont indiqué qu’ils avaient recueilli plusieurs échantillons au sein de la plateforme HoneyCloud, ce qui montre que la menace continue de croître.

Les chercheurs ont indiqué que les échantillons qu’ils avaient découverts provenaient de différentes régions géographiques. Ils estiment donc que le nombre de nœuds P2P continue d’augmenter.

Ils ont attribué cette croissance au nombre de cibles potentielles. Ils ont également indiqué qu’ils ne disposaient pas d’une estimation du nombre de nœuds existant actuellement ou de la vitesse à laquelle le seuil d’attaque augmente.

« Cela est dû au volume de cibles potentielles – plus de 307 000 instances Redis communiquant publiquement au cours des deux dernières semaines – et au fait que le ver a pu compromettre plusieurs de nos pots de miel Redis dans différentes régions. Cependant, nous n’avons pas encore d’estimation du nombre de nœuds existants ou de la vitesse à laquelle le réseau malveillant associé à P2PInfect se développe », ont déclaré les chercheurs en sécurité.

La faille cible les écosystèmes de conteneurs en nuage

Si la faille CVE-2022-0543 est exploitée avec succès, elle permettra au logiciel malveillant d’avoir accès aux capacités d’exécution de code à distance des appareils concernés. Une fois cette vulnérabilité déployée, le ver P2PInfect installera la première charge utile malveillante qui compromettra l’appareil ciblé.

La charge utile malveillante déclenche un canal de communication d’égal à égal qui fonctionne au sein d’un système interconnecté plus vaste. Ensuite, la charge utile sera connectée au réseau P2P de l’appareil infecté qui est utilisé pour effectuer une auto-propagation.

Le ver téléchargera ensuite les binaires malveillants supplémentaires, qui comprennent les outils d’analyse utilisés pour localiser les autres serveurs Redis exposés aux exploits. Les chercheurs ont noté que la méthode d’exploitation utilisée permettra au ver P2PInfect d’être plus efficace.

La technique d’attaque permettra au logiciel malveillant P2PInfect de mieux fonctionner et se propager dans les environnements cloud. Les chercheurs ont ajouté qu’il était possible que la campagne P2PInfect soit l’étape initiale du lancement d’une attaque plus puissante.

La campagne P2PInfect s’appuiera sur le solide réseau P2P de commande et de contrôle (C2) pour mener à bien ces campagnes. Les serveurs Redis ont déjà été la cible de groupes de hackers ces dernières années. La majorité de ces serveurs ont été inclus dans les réseaux de zombies DDoS et de cryptojacking qui génèrent un volume de trafic élevé.

La vulnérabilité CVE-2022-0543 a en outre été utilisée pour obtenir un accès initial aux autres réseaux de zombies qui ciblent les instances Redis. Les botnets qui ont lancé cette campagne par le passé comprennent Muhstik et Redigo, qui sont de plus en plus utilisés à des fins malveillantes différentes. Les botnets sont également utilisés pour mener des campagnes DDOS et des attaques par force brute.

En mars dernier, un rapport de l’Agence Américaine de cybersécurité et de sécurité des infrastructures (CISA) a exigé que les agences civiles fédérales corrigent une faille critique de Redis. Cela s’est produit après que la faille a été ajoutée à l’exploit de propagation utilisé par le groupe de logiciels malveillants Muhstik.

Cependant, un grand nombre de cas ont été exposés en ligne, ce qui fait que de nombreux administrateurs de serveurs Redis ne savent pas que le serveur ne dispose pas d’une configuration sécurisée par défaut. Une documentation officielle sur les exploits montre que les serveurs Redis ciblent des réseaux informatiques fermés et qu’ils ne disposent pas d’un mécanisme de contrôle d’accès par défaut.