Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.
Вредонос был обнаружен на приманках специалистов Aqua Security. Исследователи назвали его Redigo, объединив в одно слово название целевых серверов (Redis) и язык программирования, на котором написано вредоносное ПО (Go). Для внедрения вредоноса хакеры используют критическую RCE-уязвимость Для просмотра ссылки Войди
И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, Для просмотра ссылки Войди
Как Для просмотра ссылки Войди
- INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;
- SLAVEOF – создает копию сервера;
- REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;
- PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;
- MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;
- SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.
Используя возможности внедренного бэкдора, злоумышленники собирают информацию о хосте, а затем загружают на него Redigo, запуская вредоноса после повышения привилегий.
Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.
- Источник новости
- https://www.securitylab.ru/news/535109.php