P2PInfect-Botnet nutzt exponierte Redis-Instanzen, um Kubernetes-Cluster zu kompromittieren

Ein bekanntes Botnetz greift Cloud-Umgebungen nun planvoller an als zuvor. P2PInfect, eine seit Mitte 2023 aktive Peer-to-Peer-Malware, die in Rust geschrieben wurde, wurde dabei beobachtet, wie sie Kubernetes-Cluster ko Ein bekanntes Botnetz greift Cloud-Umgebungen nun planvoller an als zuvor.

P2PInfect, eine seit Mitte 2023 aktive Peer-to-Peer-Malware, die in Rust geschrieben wurde, wurde dabei beobachtet, wie sie Kubernetes-Cluster kompromittiert, indem sie auf Redis-Instanzen zugreift, die ungeschützt im Internet exponiert sind.

Diese Kampagne markiert einen deutlichen Wandel: Sie verlässt einfache Server-Infektionen zugunsten dauerhafter Ankerpunkte innerhalb verwalteter Cloud-Infrastrukturen. P2PInfect hat sich einen starken Ruf als Verfolger, einem in-Speicher-Datenspeicher, der in Webanwendungen und Cloud-Umgebungen weit verbreitet ist.

Die Malware nutzt falsch konfigurierte Redis-Einrichtungen aus und missbraucht häufig die integrierte Replikationsfunktion der Datenbank, um kompromittierte Knoten in ihr Peer-to-Peer-Mesh-Netzwerk aufzunehmen.

Sobald sie im System ist, beginnen infizierte Hosts mit anderen Botnetz-Peers zu kommunizieren, wobei sie das Netzwerk langsam ausbauen und auf weitere Anweisungen warten.

Das Botnetz nutzt zudem die kritische Schwachstelle CVE-2022-0543, einen Lua-Sandbox-Entwuchslingsfehler mit einem perfekten CVSS-Score von 10,0, um auf verwundbaren Redis-Instanzen Code auszuführen. Forscher in einem Bericht, der bei