Bu ayın başlarında, güvenlik araştırmacıları, İnternet’e açık Windows ve Linux sistemlerinde çalışan Redis örneklerini hedefleyen, kendi kendini yayma özelliklerine sahip yeni bir eşler arası (P2P) kötü amaçlı yazılım keşfetti.
Rust tabanlı solucanı (adlı) tespit eden Birim 42 araştırmacıları P2PInfect) 11 Temmuz’da ayrıca, CVE-2022-0543 Lua sanal alan kaçış güvenlik açığının maksimum ciddiyetine karşı savunmasız bırakılan Redis sunucularına saldırdığını da tespit etti.
Araştırmacılara göre, son iki hafta içinde İnternet’e açık 307.000’den fazla Redis sunucusu keşfedilmiş olsa da, yalnızca 934 örnek bu kötü amaçlı yazılımın saldırılarına karşı potansiyel olarak savunmasız.
Bununla birlikte, hepsi enfeksiyona duyarlı olmasa bile, solucan yine de onları hedef alacak ve tehlikeye atmaya çalışacaktır.
Araştırmacılar, “Birden çok coğrafi bölgede HoneyCloud platformumuzda birkaç örnek yakaladık ve P2P düğümlerinin sayısının arttığına kesinlikle inanıyoruz” dedi.
“Bu, potansiyel hedeflerin hacminden (son iki hafta içinde herkese açık olarak iletişim kuran 307.000’den fazla Redis örneği) ve solucan farklı bölgelerdeki Redis bal küplerimizin birçoğunu tehlikeye atabildiğinden kaynaklanıyor. Ancak, henüz kaç düğüm olduğuna veya P2PInfect ile ilişkili kötü amaçlı ağın ne kadar hızlı büyüdüğüne dair bir tahminimiz yok.”
Bulut kapsayıcı ortamlarında belirlenen hedefler
CVE-2022-0543 kusurunun başarılı bir şekilde kullanılması, kötü amaçlı yazılımın güvenliği ihlal edilmiş cihazlarda uzaktan kod yürütme yetenekleri kazanmasına olanak tanır.
P2PInfect solucanı, konuşlandırılmasının ardından ilk kötü amaçlı yükü yükleyerek daha geniş bir birbirine bağlı sistem içinde eşler arası (P2P) bir iletişim kanalı oluşturur.
Solucan, otomatik yayılma için kullanılan diğer virüs bulaşmış cihazların P2P ağına bağlandıktan sonra, açığa çıkan diğer Redis sunucularını bulmak için tarama araçları da dahil olmak üzere ek kötü amaçlı ikili dosyalar indirir.
Araştırmacılar, “CVE-2022-0543’ü bu şekilde kullanmak, P2PInfect solucanını bulut kapsayıcı ortamlarında çalıştırma ve yayma konusunda daha etkili hale getiriyor” diye ekledi.
“Birim 42, bu P2PInfect kampanyasının, bu güçlü P2P komuta ve kontrol (C2) ağını kullanan potansiyel olarak daha yetenekli bir saldırının ilk aşaması olduğuna inanıyor.”
Redis sunucuları, yıllar içinde çoğu DDoS ve cryptojacking botnet’lerine eklenen birçok tehdit aktörü tarafından hedef alındı.
Örneğin, CVE-2022-0543 istismarları, Muhstik ve Redigo dahil olmak üzere Redis örneklerini hedefleyen diğer botnet’ler tarafından DDoS ve kaba kuvvet saldırıları dahil olmak üzere çeşitli kötü amaçlı amaçlar için ilk erişim için kullanılmıştır.
Mart 2022’de ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Muhstik kötü amaçlı yazılım çetesi tarafından kullanılan yayıcı istismarına eklendikten sonra bu kritik Redis güvenlik açığını yamalamaları için federal sivil kurumlara talimat verdi.
Ne yazık ki, çevrimiçi olarak açığa çıkan çok sayıda örneğe bağlı olarak, birçok Redis sunucu yöneticisi, Redis’in varsayılan olarak güvenli bir yapılandırmaya sahip olmadığının farkında olmayabilir.
Resmi belgelere göre, Redis sunucuları kapalı BT ağları için tasarlanmıştır ve bu nedenle, varsayılan olarak etkinleştirilmiş bir erişim kontrol mekanizmasıyla gelmezler.