P2PInfect : Worm che infetta piattaforme Redis.

20 Luglio 202320 Luglio 2023 Giovanni Popolizio CVE-2022-0543, Cybersecurity, cybersicurezza, National Vulnerability Database, P2PInfect, Redis, sicurezza informatica, worm peer-to-peer

P2PInfect

L’11 luglio 2023, i ricercatori cloud dell’Unit 42 hanno scoperto un nuovo worm peer-to-peer (P2P) chiamato P2PInfect.

Scritto in Rust, un linguaggio di programmazione altamente scalabile e adatto al cloud, questo worm è in grado di infettare più piattaforme e prende di mira Redis, una popolare applicazione di database open-source molto utilizzata negli ambienti cloud.

Le istanze di Redis possono essere eseguite sia su sistemi operativi Linux che Windows. I ricercatori di Unit 42 hanno identificato oltre 307.000 sistemi Redis unici che comunicano pubblicamente nelle ultime due settimane. Purtroppo 934 potrebbero essere vulnerabili a questa variante di worm P2P.

Anche se non tutte le 307.000 istanze Redis saranno vulnerabili, il worm prenderà comunque di mira questi sistemi e tenterà di comprometterli.

P2PInfect

Il worm P2PInfect infetta le istanze Redis vulnerabili sfruttando la vulnerabilità Lua sandbox escape, CVE-2022-0543. Sebbene la vulnerabilità sia stata divulgata nel 2022, la sua portata non è ancora del tutto nota. Tuttavia, è classificata nel National Vulnerability Database del NIST con un punteggio Critical CVSS di 10,0 ! .

Inoltre, il fatto che P2PInfect sfrutti i server Redis in esecuzione su sistemi operativi Linux e Windows lo rende più scalabile e potente di altri worm.

P2PInfect sfrutta CVE-2022-0543 per l’accesso iniziale e rilascia un payload iniziale che stabilisce una comunicazione P2P con una rete P2P più grande. Una volta stabilita la connessione P2P, il worm scarica altri file binari dannosi, come script specifici per il sistema operativo e software di scansione. L’istanza infetta si unisce quindi alla rete P2P per fornire l’accesso agli altri payload alle future istanze Redis compromesse.

Lo sfruttamento di CVE-2022-0543 in questo modo rende il worm P2PInfect più efficace nel funzionamento e nella propagazione in ambienti cloud container. È qui che i ricercatori dell’Unità 42 hanno scoperto il worm, compromettendo un’istanza del container Redis all’interno dell’ ambiente HoneyCloud, un insieme di honeypot che utilizziamo per identificare e studiare nuovi attacchi basati sul cloud in ambienti cloud pubblici.

CVE-2022-0543

Nel gennaio 2022, Reginaldo Silva, un manutentore di Redis, ha scoperto una vulnerabilità in Redis, denominata Lua Sandbox Escape, che consente ad aggressori remoti in grado di eseguire script Lua di sfuggire alla sandbox Lua ed eseguire codice arbitrario sull’host. La falla identificata è stata classificata come CVE-2022-0543 ID e ha ottenuto il massimo punteggio CVSS di 10 secondo il sistema di punteggio CVSSv3. Questa vulnerabilità è un avvertimento per chi esegue Radis su Debian, Ubuntu e qualsiasi distribuzione Linux eseguita sulla piattaforma Debian. Inoltre, Juniper ha trovato un attacco che ha come obiettivo questa vulnerabilità.

Redis

Redis è un archivio di dati in-memory open source che può essere utilizzato come database, cache o broker di messaggi. Viene spesso utilizzato per la cache delle pagine web e per ridurre il carico sui server.

Redis ha anche alcune caratteristiche che lo rendono interessante per l’uso come database. Utilizzato come il supporto per le transazioni e la messaggistica publish/subscribe. Tuttavia, non ha tutte le caratteristiche di un database tradizionale come MySQL o MongoDB.

Database in-memory

Un database in-memory è un tipo di database che memorizza i dati interamente nella memoria principale (RAM) anziché su disco. I database in-memory sono progettati per fornire un accesso rapido ai dati sfruttando l’alta velocità della memoria principale, che è di diversi ordini di grandezza più veloce della memorizzazione su disco.

I database in-memory sono comunemente utilizzati in applicazioni che richiedono un accesso rapido a grandi quantità di dati, come le analisi in tempo reale, i giochi online, il commercio elettronico e i social media. Vengono inoltre utilizzati in applicazioni che richiedono elevate prestazioni e scalabilità, in quanto i database in-memory sono in grado di gestire elevati volumi di dati e transazioni senza sacrificare le prestazioni.