P2PInfect という新種のワーム:Redis サーバの脆弱性 CVE-2022-0543 が狙われている

New P2PInfect worm malware targets Linux and Windows Redis servers

2023/07/23 BleepingComputer — 7月11日にセキュリティ研究者たちは、インターネットに公開された Windows/Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見した。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見した。この2週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されているが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べている。


しかし、感染の可能性がないとしても、この P2PInfect ワームは、公開されている Redis サーバをターゲットにして、侵害しようとする。

Unit 42 の研究者たちは、「HoneyCloud プラットフォーム内で、複数の地域をカバーしながら複数のサンプルをキャッチしており、P2P ノードの数が増加していると強く確信している。その理由として挙げられるのは、この2週間で 307,000 を超えるRedisインスタンスがパブリックに通信しているという状況である。つまり、潜在的なターゲットが大量に存在することになり、しかも、このワームは異なる地域で侵害を可能にしている。ただし、どれだけのノードが存在し、P2PInfect に関連する悪意のネットワークが、どれだけほどの速度で成長しているかについては、まだ推定できていない」と説明している。

クラウドコンテナ環境に設定されたターゲット

脆弱性 CVE-2022-0543 の悪用に成功したマルウェアは、侵害したデバイス上でリモートコード実行機能を得るようになる。

まず、P2PInfect ワームは、悪意のあるペイロードをインストールし、より広範な相互接続システム内に P2P 通信チャネルを作成する。

自動伝播に悪用するために、他の感染デバイスの P2P ネットワークに接続した後に、このワームは追加の悪意のバイナリをダウンロードするが、その中には、他のパブリックな Redis サーバをスキャンするためのツールも含まれる。

研究者たちは、「このように、脆弱性 CVE-2022-0543 を悪用することで、P2PInfect ワームはクラウドコンテナ環境での動作し、効果的に伝播していく。Unit42 は、この P2PInfect キャンペーンについて、強固な P2P Command and Control (C2) ネットワークを活用した、より強力な攻撃の第一段階らと考えている」と指摘している。

長年にわたって、Redis サーバは多数の脅威アクターに狙われており、その大半が、DDoS やクリプト・ジャッキングのボットネットに追加されている。

たとえば、脆弱性 CVE-2022-0543 の悪用により、Redis インスタンス (Muhstik/Redigo を含む) を標的とするボットネットは、DDoS 攻撃やブルートフォース攻撃などの初期アクセスに使用されてきた。

2022年3月に CISA は、Muhstik マルウェア・ギャングが使用したスプレッダー・エクスプロイトに、この脆弱性が追加されたことを確認した上で、Redis にパッチを当てるよう、連邦政府民間機関に命じた。

残念なことに、Redis サーバ管理者の大半が、Redis には secure-by-default コンフィグレーションが無いことに気づいていない可能性がある。オンラインで公開されている多数のインスタンスを考えると、そう推測せざるを得ない。

公式ドキュメントによると、Redis サーバはクローズドな IT ネットワーク向けに設計されているため、デフォルトでアクセス制御メカニズムは有効になっていない。

Update:7月20日13時36分 (EDT):この記事が掲載された後に、Redis は以下の声明を発表した。

世界で最も人気のあるインメモリ・データベースである Redis が、脅威アクターの標的にナリやすいのは当然のことであり、こうした悪意のある行為者の発見に、サイバー・セキュリティ研究者たちが積極的に取り組んでいることを嬉しく思う。この脆弱性は、Debian Linux の特定のバージョンが、オープンソースの Redis 用の Lua エンジンをパッケージングしている方式に起因している。Redis Enterprise ソフトウェアには、この脆弱性の影響を受けない、Lua モジュールの強化バージョンがバンドルされている。そのため、Redis Enterprise ライセンスのソフトウェアを実行しているユーザーは、CVE-2022-0543 および P2PInfect の危険にさらされることは無い。オープンソースの Redis を使用している場合には、redis.io から直接入手できる公式ディストリビューションの使用が推奨される。- Redis

まず、Redis の脆弱性 CVE-2022-0543 ですが、お隣のキュレーション・チームに聞いてみたところ、2022年3月に公表されたものであり、権限昇格およびコード・インジェクションのバグだとのことです。そして、この記事では、「Redis サーバ管理者の大半が、Redis には secure-by-default コンフィグレーションが無いことに気づいていない可能性がある」と解説されています。ご注意ください。