เมื่อต้นเดือนกรกฎาคมที่ผ่านมา นักวิจัยด้านความปลอดภัยพบมัลแวร์ peer-to-peer (P2P) ตัวใหม่ ที่มีความสามารถในการแพร่กระจายตัวเองซึ่งมีเป้าหมายไปที่ Redis ที่ทำงานบนระบบ Windows และ Linux ที่เข้าถึงได้จากอินเทอร์เน็ต
นักวิจัยของ Unit 42 ที่เป็นผู้ตรวจพบมัลแวร์ที่ใช้ภาษา Rust (P2PInfect) เมื่อวันที่ 11 กรกฎาคมที่ผ่านมา พบว่ามัลแวร์ทำการโจมตีเซิร์ฟเวอร์ Redis ที่มีช่องโหว่ CVE-2022-0543 ระดับ Critical จากช่องโหว่ของ Lua sandbox escape
ตามข้อมูลจากนักวิจัยในช่วง 2 สัปดาห์ที่ผ่านมา ได้พบ Redis server จำนวน 307,000 เซิร์ฟเวอร์ที่เข้าถึงได้จากอินเทอร์เน็ต แต่พบว่ามีเพียง 934 ตัวที่อาจมีความเสี่ยงในการถูกโจมตีด้วยมัลแวร์ต่าง ๆ
อย่างไรก็ตาม ถึงแม้ว่าไม่ใช่เซิร์ฟเวอร์ทั้งหมดที่มีโอกาสถูกโจมตี แต่มัลแวร์ก็ยังคงมุ่งเป้าหมาย และพยายามโจมตีอย่างต่อเนื่อง
นักวิจัยระบุว่า "มีการตรวจพบตัวอย่างหลายรายการภายในแพลตฟอร์ม HoneyCloud ในหลายพื้นที่ และเชื่อว่าจำนวนของ P2P โหนดก็กำลังเพิ่มขึ้นเช่นกัน"
มัลแวร์กำลังมุ่งเป้าหมายไปยัง cloud container
หากสามารถโจมตีช่องโหว่ CVE-2022-0543 ได้สำเร็จ อาจทำให้มัลแวร์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่ถูกโจมตีได้
หลังจาก P2PInfect worm ติดตั้งได้สำเร็จ มันจะดำเนินการ payload ที่เป็นอันตรายเพิ่มเติม ซึ่งจะสร้างช่องทางการเชื่อมต่อแบบ peer-to-peer (P2P) ภายในระบบที่เชื่อมต่อระหว่างกันเป็นวงกว้าง
หลังจากที่เชื่อมต่อกับเครือข่าย P2P ของอุปกรณ์อื่น ๆ ที่ถูกโจมตี worm จะดาวน์โหลดไบนารีที่เป็นอันตรายเพิ่มเติม รวมถึงใช้เครื่องมือสแกนเพื่อค้นหาเซิร์ฟเวอร์ Redis ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตอื่น ๆ
นักวิจัยระบุเพิ่มเติมว่า "การใช้ช่องโหว่ CVE-2022-0543 นี้ทำให้ P2PInfect worm มีประสิทธิภาพมากขึ้นในการทำงาน และการแพร่กระจายใน cloud container"
"หน่วยงาน Unit 42 เชื่อว่าแคมเปญของ P2PInfect นี้เป็นขั้นตอนแรกของการโจมตีที่อาจมีความสามารถที่มากขึ้นหลังจากนี้ โดยใช้ P2P command and control (C2) ที่มีประสิทธิภาพมากขึ้น"
เซิร์ฟเวอร์ Redis ได้ตกเป็นเป้าหมายจากผู้โจมตีหลายรายในระหว่างหลายปีที่ผ่านมา โดยส่วนใหญ่ของเครื่องที่ถูกโจมตีเหล่านี้ถูกนำไปใช้ในการทำ DDoS และ cryptojacking botnets
ในเดือนมีนาคม ปี 2022 หน่วยงาน U.S. Cybersecurity and Infrastructure Security Agency (CISA) ได้สั่งให้หน่วยงานภาครัฐดำเนินการแก้ไขช่องโหว่ระดับ Critical ใน Redis หลังจากที่มีการเพิ่มช่องโหว่นี้ลงในเครื่องมือการโจมตีที่ถูกใช้โดยกลุ่มมัลแวร์ Muhstik ที่เป็นผู้เผยเเพร่การโจมตี
จากการที่ Redis server จำนวนมากที่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต แสดงให้เห็นว่าผู้ดูแลเซิร์ฟเวอร์ Redis จำนวนมากอาจจะไม่ทราบว่า Redis ไม่ได้ถูกตั้งค่าให้มีความปลอดภัยมาตั้งแต่ค่าเริ่มต้น (secure-by-default configuration)
โดยเอกสารอย่างเป็นทางการระบุว่า เซิร์ฟเวอร์ Redis ถูกออกแบบมาเพื่อใช้ใน closed IT networks ดังนั้นจึงไม่มีการตั้งค่าด้านความปลอดภัยเพื่อควบคุมการเข้าถึงโดยค่าเริ่มต้น
โดยล่าสุด Redis ระบุว่า "ในฐานะ in-memory database ที่ได้รับความนิยมมากที่สุดในโลก จึงทำให้ Redis มักตกเป็นเป้าหมายของผู้โจมตี ก่อนหน้านี้บริษัทเคยพบมัลแวร์อื่น ๆ ที่สร้างขึ้นเพื่อใช้ประโยชน์จากช่องโหว่ CVE-2022-0543 ซึ่งเป็นช่องโหว่ที่เกิดจาก Debian Linux บางเวอร์ชันที่มีแพ็คเกจ Lua engine สำหรับ Redis แบบโอเพนซอร์ส ดังนั้น Redis Enterprise รวมถึงโมดูล Lua เวอร์ชันที่มีการทำ hardened ไม่มีความเสี่ยงจากช่องโหว่ CVE-2022-0543 นี้ และ P2PInfect ส่วนผู้ใช้งานที่ใช้ Redis แบบโอเพนซอร์ส แนะนำให้ใช้เวอร์ชันที่เผยแพร่อย่างเป็นทางการจาก redis.io เท่านั้น"
ที่มา : bleepingcomputer
You must be logged in to post a comment.