Los atacantes están utilizando una versión de hace 8 años del Servidor de base de datos de código abierto Redis utilizar maliciosamente el módulo Meterpreter de Metasploit para exponer exploits dentro de un sistema, permitiendo potencialmente la adquisición y distribución de una gran cantidad de otro malware.
Investigadores del Centro de Inteligencia de Seguridad AhnLab (ASEC) dijeron en un blog que los atacantes probablemente estén explotando configuraciones inapropiadas o una vulnerabilidad presente en una implementación de Redis para distribuir Meterpreter para un uso nefasto.
“Este tipo de malware ataca servidores redis abierto al público en Internet con la función de autenticación desactivada”, escribió el investigador de ASEC Sanseo en la publicación. "Después de obtener acceso a Redis, los actores de amenazas pueden instalar malware mediante métodos de ataque conocidos".
Meterpreter es un aspecto de la herramienta legítima de prueba de penetración Metasploit que permite a los actores de amenazas recuperar varios Módulos de metasploit, o explotar exploits para errores conocidos, y luego usarlos en el sistema de destino, según ASEC. Metasploit es una herramienta similar a Cobalt Strike de la que los actores de amenazas también abusan con frecuencia para ejecutar ataques.
"Cuando se instala Metasploit, el actor de la amenaza puede tomar el control del sistema infectado y también dominar la red interna de una organización utilizando las diversas funciones que ofrece el malware", explicó Senseo.
Cómo está hecho
Redis es un servicio de almacenamiento de estructura de datos en memoria de código abierto que se utiliza cada vez más de diversas formas en entornos de nube; su propósito principal suele ser la gestión de sesiones, el intermediario de mensajes y las colas, según ASEC. Esta mayor prevalencia también está haciendo que sea un objetivo más popular para los atacantes, que han abusado de servidores Redis vulnerables para difundir una gran cantidad de malware, incluido Parentesco, P2PInfect, Skidmap, Migo y HeadCrab.
Al utilizar Metasploit Meterpreter, existen dos métodos de ataque principales que los actores pueden emplear para propagar malware una vez que hayan obtenido acceso a Redis. Una es registrar el comando de ejecución de malware como una tarea Cron y la otra es usar el comando SLAVEOF para configurar el comando como servidor esclavo del servidor Redis que tiene el malware.
ASEC fue testigo de un ataque dirigido a un sistema que usaba Windows, junto con la versión Redis 3.x, que se desarrolló en 2016. La antigüedad de la plataforma abusada significa que "probablemente era vulnerable a ataques que abusaban de una mala configuración o ataques a vulnerabilidades conocidas", Senseo anotado.
En el ataque, el actor de amenazas descargó primero PrintSpoofer, una herramienta de escalada de privilegios, en la ruta de instalación de Redis. Los atacantes suelen utilizar esta herramienta contra servicios vulnerables que no se administran adecuadamente o no han sido parcheados con la versión reciente; de hecho, ASEC ha sido testigo de una oleada de estos ataques contra Redis desde la segunda mitad del año pasado.
"La diferencia entre los casos del pasado y los casos actuales es que PrintSpoofer se instala utilizando la herramienta CertUtil en lugar de PowerShell", explicó Senseo.
Meterpreter como puerta trasera maliciosa
Después de instalar PrintSpoofer, el actor de amenazas instaló Meterpreter Stager, uno de los dos tipos de módulo, cuya diferencia depende de la forma en que se instala. Meterpreter es para la herramienta Metasploit lo que Beacon es para Cobalt Strike.
Cuando un atacante usa Stager, significa que la instalación se realiza a través de la versión preparada, que descarga Meterpreter directamente desde el servidor de comando y control (C2) del atacante. Esto reduce el tamaño de la versión descargándola de forma “sin etapas” dentro de una carga útil, según ASEC.
Una vez que se completa este proceso, Meterpreter se ejecuta en la memoria, lo que permite al actor de la amenaza tomar el control del sistema infectado y "también dominar la red interna de una organización utilizando las diversas funciones que ofrece el malware", escribió Senseo.
Actualizar Ahora
ASEC incluyó una lista de archivos, comportamientos e indicadores de compromiso del ataque en su publicación para ayudar a los administradores de red a identificar evidencia de la amenaza en un sistema.
Para evitar verse comprometido por el vector de ataque, ASEC recomendó que los administradores de entornos con Redis 3.x instalado deberían, como mínimo, actualizar el servidor inmediatamente con los parches disponibles para garantizar que las vulnerabilidades conocidas no puedan ser explotadas. Sin embargo, el mejor de los casos sería actualizar V3 a la última versión del servidor.
Los administradores también deben instalar software de protección de seguridad que restrinja el acceso externo a servidores redis abiertos a Internet para que no puedan ser identificados ni abusados, recomendó ASEC.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/outdated-redis-service-abused-to-spread-meterpreter-backdoor
