Исследователи из группы Unit 42 обнаружили новый червь P2PInfect, создающий свою P2P-сеть для распространения вредоносного ПО без применения централизованных управляющих серверов. После компрометации хост подключается к созданной P2P-сети, загружает образ с реализацией P2PInfect для необходимой операционной системы (поддерживается Linux и Windows) и переходит в режим сканирования других уязвимых хостов для совершения на них атаки и включения их в цепочку распространения червя. При сканировании выявляются уязвимые серверы Redis и проверяется наличие доступа по SSH. Код червя написан на языке Rust.

В сети исследователями выявлено более 307 тысяч публично доступных хостов с Redis, из которых 934 уязвимы для атаки червём и возможно уже поражены им. Для атаки используется исправленная в апреле прошлого года критическая уязвимость (CVE-2022-0543) в пакетах с Redis для Ubuntu и Debian, позволяющая выполнить произвольный код на языке Lua на удалённом сервере и обойти механизм sandbox-изоляции окружения для выполнения скриптов в Redis. Проблема специфична для сборок Debian и Ubuntu, и не связана самим Redis: в пакетах из Debian статическое связывание с Lua заменено на динамическое и некорректно отключена возможность загрузки библиотек Lua.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

  • cryptOP
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    ну вот, а вы говорили, на Rust нет ПО!

  • ThePlayerZero
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    Динамическое связывание это вообще зло. Ну да, экономит место, но несекьюрно от слова вообще