Palo Alto Networks warnt vor P2P-Wurm für Cloud-Container-Umgebungen

Palo Alto Networks hat einen neuen Peer-to-Peer-Wurm (P2P-Wurm) entdeckt, der Cloud-Container-Umgebungen ins Visier nimmt. Die P2PInfect genannte Schadsoftware wird gegen eine bekannte Schwachstelle in der Open-Source-Datenbankanwendung Redis eingesetzt.

Erstmals stießen die Forscher am 11. Juni auf den Wurm P2PInfect in einer HoneyCloud-Umgebung. Seitdem identifizierten sie 307.000 Redis-Systeme, die öffentlich kommunizierten. Davon waren 934 möglicherweise anfällig für P2PInfect. Die Forscher gehen davon aus, dass der Wurm versuchen wird, auch die nicht anfälligen Redis-Systeme anzugreifen.

Schwachstelle mit CVSS-Score 10,0

Ausgenutzt wird bei den Attacken die Lua-Sandbox-Escape-Schwachstelle (CVE-2022-0543). „Dies macht den P2PInfect-Wurm effektiver für den Betrieb und die Verbreitung in Cloud-Container-Umgebungen“, ergänzten die Forscher. Da der Wurm Redis-Server ausnutzt, die sowohl auf Linux als auch unter Windows laufen, wird er als besonders skalierbar und effektiver als andere Würmer eingestuft.

Über die Sicherheitlücke CVE-2022-0543, die mit 10 Punkten im zehnstufigen Common Vulnerability Scoring System (CVSS) bewertet ist, legt P2PInfect seine eigentliche Nutzlast ab, um eine Kommunikation mit einem P2P-Netzwerk aufzubauen. Unter anderem bezieht der Wurm betriebssystemspezifische Skripte und Scan-Software. Die infizierte Instanz tritt zudem dem P2P-Netzwerk bei, um künftigen kompromittierten Systemen Zugang zu anderen Nutzlasten zu verschaffen.

Palo Alto Networks vermutet, dass die aktuelle Kampagne lediglich die erste Stufe eines potenziell umfassenderen Angriffs ist. Im Toolkit von P2PInfect fanden die Forscher mehrfach das Wort „Miner“. Für Cryptomining-Operationen gibt es ihnen zufolge bisher aber keine eindeutigen Beweise. Da das P2P-Netzwerk auf über eine Auto-Update-Funktion verfügt, schließen die Forscher nicht aus, dass die Hintermänner planen, ihre bösartigen Operationen zu verändern oder zu verbessern.