網(wǎng)絡(luò)安全公司 Palo Alto Networks 警告稱(chēng)，一種新發(fā)現(xiàn)的點(diǎn)對(duì)點(diǎn) (P2P) 蠕蟲(chóng)正在針對(duì) Redis 服務(wù)器，這些服務(wù)器容易受到已有一年之久的 Lua 沙箱逃逸漏洞的影響。

新的P2PInfect 蠕蟲(chóng)是用 Rust 編程語(yǔ)言編寫(xiě)的，它利用未修補(bǔ)的 Redis 服務(wù)器來(lái)安裝植入程序并建立 P2P 通信。然后部署其他二進(jìn)制文件，包括腳本和掃描工具，以識(shí)別其他易受攻擊的實(shí)例并傳播蠕蟲(chóng)。

據(jù) Palo Alto Networks 稱(chēng)，有超過(guò) 300,000 臺(tái) Redis 服務(wù)器暴露在互聯(lián)網(wǎng)上，其中超過(guò) 900 臺(tái)據(jù)信容易受到 P2PInfect 蠕蟲(chóng)的攻擊。該惡意軟件同時(shí)針對(duì) Windows 和 Linux 實(shí)例。

對(duì)于初始感染，該蠕蟲(chóng)利用CVE-2022-0543（CVSS 評(píng)分為 10），這是 Lua 庫(kù)中的一個(gè)清理不足的問(wèn)題。由于該庫(kù)在某些Linux軟件包中是動(dòng)態(tài)鏈接的，因此該漏洞可能導(dǎo)致沙箱逃逸和遠(yuǎn)程代碼執(zhí)行。

Palo Alto Networks 指出，感染 P2PInfect 的 Redis 實(shí)例將被添加到“P2P 網(wǎng)絡(luò)中，以便為未來(lái)受感染的 Redis 實(shí)例提供對(duì)其他有效負(fù)載的訪問(wèn)”。

這種利用技術(shù)使蠕蟲(chóng)能夠在云容器環(huán)境中有效傳播，很可能是在準(zhǔn)備“利用這種強(qiáng)大的 P2P 命令和控制 (C2) 網(wǎng)絡(luò)進(jìn)行更強(qiáng)大的攻擊”。

據(jù) Palo Alto Networks 稱(chēng)，觀察到受感染的服務(wù)器掃描其他 Redis 實(shí)例，但也通過(guò) SSH 端口 22 執(zhí)行掃描。

該網(wǎng)絡(luò)安全公司還發(fā)現(xiàn)該蠕蟲(chóng)會(huì)釋放一個(gè) PowerShell 腳本，該腳本可維持與 P2P 網(wǎng)絡(luò)的通信，并修改本地防火墻以阻止合法訪問(wèn)。

“用于執(zhí)行惡意軟件自動(dòng)傳播的 P2P 網(wǎng)絡(luò)的設(shè)計(jì)和構(gòu)建在云定位或加密劫持威脅領(lǐng)域并不常見(jiàn)。與此同時(shí)，我們相信它是專(zhuān)門(mén)為跨多個(gè)平臺(tái)妥協(xié)和支持盡可能多的 Redis 易受攻擊實(shí)例而構(gòu)建的，”P(pán)alo Alto Networks 指出。

CVE-2022-0543 的補(bǔ)丁曾在Muhstik和Redigo攻擊中被利用，已于 2022 年 4 月發(fā)布。建議 Redis 服務(wù)器管理員盡快修補(bǔ)其實(shí)例。