TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พบมัลแวร์ P2PInfect มุ่งเป้าโจมตี Redis Server ทั้ง Linux และ Windows
นักวิจัยทางด้านความมั่นคงปลอดภัยจาก Unit 42 ได้ตรวจพบมัลแวร์ตัวใหม่ในชื่อ P2PInfect โดยเป็นมัลแวร์ลักษณะ Peer-to-peer (P2P) ที่สามารถกระจายตัวได้เอง มัลแวร์ตัวนี้มุ่งเป้าโจมตี Redis Server ทั้งแบบติดตั้งบน Linux และ Windows ผ่านทางช่องโหว่ Redis Lua Sandbox Escape (CVE-2022-0543) ซึ่งมีความรุนแรงตาม CVSS ระดับสูงสุดคือ 10.0 (Critical)
จากจำนวน Redis Server กว่า 307,000 ตัวที่เชื่อมต่อโดยตรงเข้าสู่อินเทอร์เน็ต พบว่ามีจำนวน 934 ตัวที่เสี่ยงต่อการถูกโจมตีจากมัลแวร์ตัวนี้ โดยจากการตรวจสอบผ่านทาง HoneyCloud Platform ระบบ Honeypot ที่สร้างขึ้นมาดักจับมัลแวร์ตัวนี้พบว่า มัลแวร์มีความพยายามโจมตีไปยัง Redis Server ที่มีความเสี่ยง โดยพยายามส่ง Payload พิเศษเพื่อเริ่มเจาะและมีการสร้าง P2P Channel สำหรับเชื่อมต่อกับเครื่องอื่นๆที่ถูกติดตั้งมัลแวร์ตัวนี้ ที่ทำหน้าที่เป็น Command and Control (C2) และพยายามดาวน์โหลดเครื่องมือต่างๆที่ใช้ในการกระจายตัวมาติดตั้งเพิ่มเติม ซึ่งทีมงาน Unit 42 เชื่อว่านี่เป็นเพียงจุดเริ่มต้นเท่านั้นของแคมเปญการโจมตี ซึ่งนักพัฒนามัลแวร์สามารถยกระดับการโจมตีได้ผ่านการใช้เครือข่าย P2P ที่สร้างขึ้นมาอย่างแข็งแกร่ง
ที่ผ่านมา Redis Server ตกเป็นเป้าหมายจากกลุ่มแฮ็กเกอร์จำนวนมาก โดยถูกใช้ในการต่อยอดการโจมตี DDoS หรือทำเป็น Cryptojacking Botnets ซึ่งช่องโหว่ CVE-2022-0543 ก็เป็นช่องทางในการเจาะสำหรับมัลแวร์หลายๆตัว เช่น Muhstik และ Redigo โดยเมื่อเดือนมีนาคมปีที่แล้ว หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาต้องออกคำสั่งให้หน่วยงานรัฐบาลมีการแพตช์ช่องโหว่ของ Redis เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น เพราะถึงแม้ว่า Redis Server ส่วนใหญ่จะไม่มีการเชื่อมต่ออินเทอร์เน็ตก็ตาม แต่ก็ไม่ได้ถูกตั้งค่าแบบ Secure-by-default มาตั้งแต่แรก
