P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器

admin 2023年7月25日10:58:07评论54 views字数 2261阅读7分32秒阅读模式

P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

网络安全研究员发现了一个新的端对端 (P2P) 蠕虫 P2PInfect,专门攻击 Redis 实例。
P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器

Palo Alto Networks Unit 42的研究员 William Gamazo 和 Nathaniel Quist 表示,“P2PInfect 利用在 Linux 和 Windows 操作系统上运行的 Redis 服务器,使其比其它蠕虫更具扩展性和能力。该蠕虫也是用具有高度扩展性和云友好的编程语言 Rust 编写的。”据预计,多达934个唯一的 Redis 系统受该威胁影响。P2PInfect的首个已知实例在2023年7月11日检测到。

该蠕虫一个值得注意的特征是它能够通过利用 Lua 中的一个严重沙箱逃逸漏洞 CVE-2022-0543(CVSS评分10.0)感染易受攻击的 Redis 实例。一年来,该漏洞被用于传播多种恶意软件家族如 Muhstik、Redigo 和 HeadCrab等。

Unit 42 表示,尚未发现证据表明 P2PInfect 和 Redigo 以及 HeadCrab 之间的关联,并援引了所使用编程语言(Rust 和 Golang)以及利用方法本身之间的不同之处。

Palo Alto Networks 公司的首席安全研究员 William Gamazo 提到,Redigo 和 HeadCrab “与 Redis ‘Primary/Secondary’模块同步攻击之间存在关联。当受陷的 Redis 实例从 Primary 实例转移到 Secondary 实例时,攻击者就会利用这种技术控制受陷实例。我们认为该攻击技术并未正确与CVE-2022-0543之间进行关联。”

他还提到,“P2PInfect 攻击与 LUA 沙箱逃逸存在直接关联,攻击者利用LUA库感染 RCE 脚本,在受陷主机上运行。它与 Muhstik 利用之间紧密相关。然而,Muhstik和 P2PInfect 之间不存在关联。”

实施成功利用的初始访问权限被用于传播释放器 payload,构建与更大的 P2P 网络的P2P通信并提取额外的恶意二进制,包括扫描软件,将恶意软件传播到其它被暴露的 Redis 和 SSH 主机中。受感染的实例随后加入 P2P 网络,向未来受陷的 Redis 实例的其它payload 提供访问权限。“

该恶意软件还利用 PowerShell 脚本构建和维护受陷主机和 P2P 网络之间的通信,使攻击者获得可持久访问权限。另外,针对Windows 版本的 P2PInfect 还集成 Monitor 组件,自更新并推出新版本。

Redis 的一名发言人指出,“作为全球最流行的内存数据库,Redis 常常成为威胁行动者的目标毫不令人惊讶,很高兴看到网络安全研究员主动研究,找出这些恶意人员。此前我们看到其它恶意软件利用CVE-2022-0543的情况,该漏洞是由某些 Debian Linux版本为Redis开源版本封装 Lua 引擎而引发的。Redis 企业版软件中捆绑着 Lua 模块的加固版本,并不受该漏洞影响。因此,运行 Redis 企业许可软件版本的客户不受 CVE-2022-0543和P2PInfect 的影响。建议使用 Redis 开源版本的用户使用直接从 redis.io 发布的官方发行版本。”

目前尚不清楚这次攻击的最终目标是什么,Unit 42 表示虽然该工具集的源代码中出现了 “挖矿机” 的词语,但并未看到密币劫持的确切证据。话虽如此,该恶意软件被指专门用于攻陷不同平台中尽可能多的易受攻击实例,很可能是为了准备“更强大的攻击”,利用这一健壮的 P2P命令和控制网络。该攻击活动并未归责于任何已知威胁组织。这些组织攻击多种云环境如 Adept Libra (Team TNT)、Aged Libra (Rocke)、Automated Libra (PURPLEURCHIN)、Money Libra (Kinsing)、Returned Libra (8220 Gange) 或 Thief Libra (WatchDog)。

恶意人员不断扫描互联网,寻求配置不当和易受攻击的云资产。研究人员指出,“P2PInfect 蠕虫看似通过多个现代开发选择进行设计。在云中针对或密币劫持威胁环境中,专门设计和构建P2P 网络来执行自动传播恶意软件的情况并不常见。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

研究员发现针对 Windows 用户的 Raspberry Robin 蠕虫

微软1月补丁星期二值得关注的蠕虫及其它

惠普修复已存在8年的可蠕虫漏洞,影响150多款多功能打印机

可蠕虫 DarkRadiation 勒索软件瞄准 Linux 和 Docker 实例

Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等

8000余未受保护的开源 Redis 实例可遭任意访问



原文链接

https://thehackernews.com/2023/07/new-p2pinfect-worm-targeting-redis.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器
P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月25日10:58:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器https://cn-sec.com/archives/1904639.html

发表评论

匿名网友 填写信息