P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器

网络安全研究员发现了一个新的端对端 (P2P) 蠕虫 P2PInfect，专门攻击 Redis 实例。

Palo Alto Networks Unit 42的研究员 William Gamazo 和 Nathaniel Quist 表示，“P2PInfect 利用在 Linux 和 Windows 操作系统上运行的 Redis 服务器，使其比其它蠕虫更具扩展性和能力。该蠕虫也是用具有高度扩展性和云友好的编程语言 Rust 编写的。”据预计，多达934个唯一的 Redis 系统受该威胁影响。P2PInfect的首个已知实例在2023年7月11日检测到。

该蠕虫一个值得注意的特征是它能够通过利用 Lua 中的一个严重沙箱逃逸漏洞 CVE-2022-0543（CVSS评分10.0）感染易受攻击的 Redis 实例。一年来，该漏洞被用于传播多种恶意软件家族如 Muhstik、Redigo 和 HeadCrab等。

Unit 42 表示，尚未发现证据表明 P2PInfect 和 Redigo 以及 HeadCrab 之间的关联，并援引了所使用编程语言（Rust 和 Golang）以及利用方法本身之间的不同之处。

Palo Alto Networks 公司的首席安全研究员 William Gamazo 提到，Redigo 和 HeadCrab “与 Redis ‘Primary/Secondary’模块同步攻击之间存在关联。当受陷的 Redis 实例从 Primary 实例转移到 Secondary 实例时，攻击者就会利用这种技术控制受陷实例。我们认为该攻击技术并未正确与CVE-2022-0543之间进行关联。”

他还提到，“P2PInfect 攻击与 LUA 沙箱逃逸存在直接关联，攻击者利用LUA库感染 RCE 脚本，在受陷主机上运行。它与 Muhstik 利用之间紧密相关。然而，Muhstik和 P2PInfect 之间不存在关联。”

实施成功利用的初始访问权限被用于传播释放器 payload，构建与更大的 P2P 网络的P2P通信并提取额外的恶意二进制，包括扫描软件，将恶意软件传播到其它被暴露的 Redis 和 SSH 主机中。受感染的实例随后加入 P2P 网络，向未来受陷的 Redis 实例的其它payload 提供访问权限。“

该恶意软件还利用 PowerShell 脚本构建和维护受陷主机和 P2P 网络之间的通信，使攻击者获得可持久访问权限。另外，针对Windows 版本的 P2PInfect 还集成 Monitor 组件，自更新并推出新版本。

Redis 的一名发言人指出，“作为全球最流行的内存数据库，Redis 常常成为威胁行动者的目标毫不令人惊讶，很高兴看到网络安全研究员主动研究，找出这些恶意人员。此前我们看到其它恶意软件利用CVE-2022-0543的情况，该漏洞是由某些 Debian Linux版本为Redis开源版本封装 Lua 引擎而引发的。Redis 企业版软件中捆绑着 Lua 模块的加固版本，并不受该漏洞影响。因此，运行 Redis 企业许可软件版本的客户不受 CVE-2022-0543和P2PInfect 的影响。建议使用 Redis 开源版本的用户使用直接从 redis.io 发布的官方发行版本。”

目前尚不清楚这次攻击的最终目标是什么，Unit 42 表示虽然该工具集的源代码中出现了 “挖矿机” 的词语，但并未看到密币劫持的确切证据。话虽如此，该恶意软件被指专门用于攻陷不同平台中尽可能多的易受攻击实例，很可能是为了准备“更强大的攻击”，利用这一健壮的 P2P命令和控制网络。该攻击活动并未归责于任何已知威胁组织。这些组织攻击多种云环境如 Adept Libra (Team TNT)、Aged Libra (Rocke)、Automated Libra (PURPLEURCHIN)、Money Libra (Kinsing)、Returned Libra (8220 Gange) 或 Thief Libra (WatchDog)。

恶意人员不断扫描互联网，寻求配置不当和易受攻击的云资产。研究人员指出，“P2PInfect 蠕虫看似通过多个现代开发选择进行设计。在云中针对或密币劫持威胁环境中，专门设计和构建P2P 网络来执行自动传播恶意软件的情况并不常见。”

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~