P2PInfect, Linux ve Windows işletim sistemlerindeki Redis sunucularını aktif olarak hedef alan yeni bir P2P solucanıdır, bu da onu diğerlerine kıyasla oldukça ölçeklenebilir ve güçlü kılar.
Tüm Redis bulut sunucuları savunmasız olmasa da, yine de bu yeni P2P solucan varyantından taviz verme girişimlerini beklemelidirler.
Palo Alto Networks Unit 42 araştırmacıları, özellikle bulut kapsayıcıları olmak üzere Redis’i aktif olarak hedefleyen bu yeni platformlar arası, Rust tabanlı P2P solucanını keşfetti.
Kusurdan Yararlanıldı
P2PInfect P2P solucanı, CVE-2022-0543 güvenlik açığını kullanarak Redis örneklerini hedeflerken. Birim 42, genel iletişimde 307.000’den fazla Redis sistemi buldu ve bunlardan 934’ü muhtemelen bu P2P solucanına karşı savunmasız.
2022’de açıklanan bir Lua korumalı alan kaçış güvenlik açığı olan CVE-2022-0543’ün Kritik CVSS puanı 10,0’dır. Tam kapsamı bilinmiyor, ancak P2PInfect, Linux ve Windows’ta Redis’ten yararlanarak gücünü artırıyor.
P2PInfect, giriş için CVE-2022-0543’ü kullanır ve daha büyük bir ağ için P2P iletişimi kurar. Gelecekteki Redis sunucularını etkilemek için P2P ağına katılarak daha fazla kötü amaçlı ikili dosyaları (komut dosyaları, tarama araçları) getirir.
Birim 42, P2PInfect’in güçlü bir P2P C2 ağıyla güçlü bir saldırının ilk aşaması olduğundan şüpheleniyor, çünkü araç setinde “madenci” ifadesi geçiyor, ancak herhangi bir kripto madenciliği kanıtı bulunamadı.
Bunun yanı sıra, ağın “Otomatik güncelleme” modu, kötü amaçlı işlemleri geliştirmek için yeni yüklerin gönderilmesini sağlar.
Güvenlik açığı geçmiş saldırılarda (Muhstik, Redigo) istismar edilerek DoS ve kaba kuvvete neden oldu. P2PInfect benzer bir model izler ancak açıktan yararlanma sonrası işlemlerde önemli ölçüde farklılık gösterir.
Kendi Kendini Kopyalayan P2P Solucanı
11 Temmuz 2023’te Unit 42, bulut tabanlı bal küpü algılama sistemi HoneyCloud aracılığıyla ilk P2PInfect örneğini buldu.
Bunun dışında, kötü amaçlı ikili dosyaları iletmek için P2PInfect bir P2P ağı kullanır ve bunlara yazarın proje yapısı sembolünün adını da verir.
Windows sürümünün kalıntıları, adları ve Redis modülü (Kaynak – Unit42)
P2PInfect, CVE-2022-0543’ten yararlanarak bulut kapsayıcılarında yükleri teslim etmek için P2P iletişimi kurar. RCE için cron hizmetlerini kullanan solucanların aksine, savunmasız senaryoları kapsayan konteyner ortamlarına uyum sağlar.
Teknik Analiz
Windows’ta P2PInfect, virüslü ana bilgisayarda çalışma işlevselliğini sağlayan bir İzleme işlemine (C:\Users\username\AppData\Local\Temp\cmd.exe içinde) sahiptir.
Başlatıldıktan sonra P2PInfect’in İzleyicisi (cmd.exe), P2P ağından yeni sürümleri indirir, bunları orijinal klasörde rastgele adlarla tutar ve şifreli bir yapılandırma (.conf) bırakır.
Belirli ilk yük P2PInfect örnekleri UPX ile paketlenmişken, ikinci aşama kötü amaçlı yazılımlar (madenci ve kazan madenci) UPX ile dolu değildi.
Uzmanlar, Redis uygulamalarının şirket içinde ve bulutta izlenmesini tavsiye ederek, /tmp’de rastgele dosya adlarının olmamasını sağlar. DevOps, meşru işlemler ve ağ erişimi için örnekleri sürekli olarak denetlemelidir.
Ayrıca, tüm Redis örneklerini bu solucanı hafifletmeye yardımcı olacak mevcut en son sürümlerle güncel tutmaya da teşvik ettiler.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.