P2PInfect afecta servidores de Redis en sistemas Linux y Windows

Se ha descubierto un nuevo ataque gusano de tipo punto a punto (P2P) dirigido a la nube de Redis, se lo nombro P2PInfect, que está enfocado en explotar instancias vulnerables de Redis para su propagación.

Una característica distintiva de este gusano es su capacidad para infectar instancias vulnerables de Redis mediante la explotación de una vulnerabilidad crítica de escape de la zona de pruebas de Lua. La vulnerabilidad se identifica como CVE-2023-0543 de severidad CRÍTICA con un puntaje CVSS base de 10.

Según los expertos en seguridad cibernética, P2PInfect se enfoca en servidores Redis que se ejecutan en sistemas operativos Linux y Windows, lo que lo hace más escalable y poderoso en comparación con otros gusanos. Además, su código está escrito en Rust, un lenguaje de programación altamente escalable y compatible con la nube.

Se estima que hasta 934 sistemas Redis únicos podrían ser vulnerables a esta amenaza. La primera aparición conocida de P2PInfect se detectó el 11 de julio de 2023.

Una vez que el gusano logra una explotación exitosa, se utilizaría para entregar una carga útil que establece comunicación P2P con una red más grande y adquiere archivos binarios maliciosos adicionales, incluido el software de escaneo para propagar el malware a otros hosts Redis y a sistemas expuestos a SSH.

Los investigadores indican que una instancia infectada se podrían unir a la red P2P con el fin de brindar acceso a otras cargas útiles y comprometer futuras instancias de Redis.

Productos y Versiones afectadas

  • redis/5:5.0.14-1+deb10u1 y anteriores.
  • redis/5:5.0.3-4 y anteriores.
  • redis/5:6.0.15-1 y anteriores.

Solución

Actualice el servidor a las versiones que solucionan la vulnerabilidad:

  • redis/5:6.0.16-1+deb11u2
  • redis/5:5.0.14-1+deb10u2
  • redis/5:6.0.16-2
  • redis/5:7.0~rc2-2

Recomendaciones

Se recomienda a los usuarios que actualicen a las versiones antes descritas para así mitigar los riesgos potenciales.

Referencias

Para mayor información sobre la vulnerabilidad descrita, consultar los siguiente enlaces: