攻撃者が8年前のRedisのオープンソースデータベースサーバーのバージョンを悪用し、システム内の脆弱性を露呈させるためにMetasploitのMeterpreterモジュールを悪用しています。これにより、感染したシステムの乗っ取りや他のマルウェアの配布が可能になります。AhnLab Security Intelligence Center(ASEC)の研究者によると、攻撃者はRedisの不適切な設定や脆弱性を悪用してMeterpreterを配布している可能性があります。このマルウェアは、認証機能が無効になっているインターネット上の公開Redisサーバーを攻撃します。Redisにアクセスした後、脅威アクターは既知の攻撃方法を通じてマルウェアをインストールできます。
Metasploitは、脅威アクターが様々なMetasploitモジュールを取得し、ターゲットシステムで使用できるようにする合法的なペネトレーションテストツールです。ASECは、Redis 3.xのバージョンを使用するシステムをターゲットにした攻撃を目撃しました。このバージョンは2016年に開発されたもので、設定ミスや既知の脆弱性を悪用する攻撃に対して脆弱である可能性が高いとされています。
攻撃者はまず、Redisのインストールパスに特権昇格ツールであるPrintSpooferをダウンロードしました。その後、攻撃者はMeterpreter Stagerをインストールし、メモリ内で実行することで感染したシステムを制御し、組織の内部ネットワークを支配することが可能になります。
ASECは、Redis 3.xをインストールした環境の管理者に対し、既知の脆弱性を悪用されないように、利用可能なパッチでサーバーを直ちに更新することを勧めています。さらに、インターネットに公開されたRedisサーバーへの外部アクセスを制限するセキュリティ保護ソフトウェアをインストールすることも勧めています。
【ニュース解説】
攻撃者が8年前のバージョンであるRedis 3.xのオープンソースデータベースサーバーを悪用し、MetasploitのMeterpreterモジュールを使用してシステム内の脆弱性を露呈させることで、感染したシステムの乗っ取りや他のマルウェアの配布が可能になるという事例が報告されました。この攻撃は、認証機能が無効にされた状態でインターネット上に公開されているRedisサーバーを対象にしています。
Metasploitは、合法的なペネトレーションテストツールであり、脅威アクターが様々なMetasploitモジュールを取得し、ターゲットシステムで使用することができます。このツールを悪用することで、攻撃者は感染したシステムを完全に制御し、組織の内部ネットワークにも侵入することが可能になります。
この攻撃の特徴として、攻撃者はまずRedisのインストールパスに特権昇格ツールであるPrintSpooferをダウンロードし、その後Meterpreter Stagerをインストールしてメモリ内で実行します。これにより、感染したシステムおよび組織の内部ネットワークを支配下に置くことができます。
このような攻撃から身を守るためには、Redis 3.xを使用している環境では、既知の脆弱性を悪用されないように、直ちにサーバーを最新のパッチで更新することが重要です。また、インターネットに公開されたRedisサーバーへの外部アクセスを制限するセキュリティ保護ソフトウェアの導入も効果的です。
この事例は、古いバージョンのソフトウェアを使用し続けるリスクと、セキュリティ対策の重要性を改めて浮き彫りにしています。特に、インターネットに公開されているサーバーは、常に最新のセキュリティ対策を施し、不正アクセスを防ぐための厳重な管理が求められます。また、この事例は、合法的なツールがどのようにして悪用される可能性があるかを示しており、セキュリティ対策においては、ツールの使用目的だけでなく、その悪用リスクも考慮する必要があることを教えています。
from Expired Redis Service Abused to Use Metasploit Meterpreter Maliciously.
