Новости Новое вредоносное ПО Redigo атакует серверы Redis

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.​


u3hsk5ug8lhzgo8p8gzckx68j8p7qcl0.jpg


Вредонос был обнаружен на приманках специалистов Aqua Security. Исследователи назвали его Redigo, объединив в одно слово название целевых серверов (Redis) и язык программирования, на котором написано вредоносное ПО (Go). Для внедрения вредоноса хакеры используют критическую RCE-уязвимость Для просмотра ссылки Войди или Зарегистрируйся (имеет 10 баллов из 10 по шкале CVSS), которая позволяет “сбежать из песочницы” обработчика Lua-скриптов в Redis и выполнить произвольный код на удаленном хосте. Эта брешь в защите актуальна для некоторых вариантов Debian и Ubuntu и была устранена обновлением Redis-пакета до версии 5.6.0.16.-1 в феврале этого года.

И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, Для просмотра ссылки Войди или Зарегистрируйся доступен всем желающим.

Как Для просмотра ссылки Войди или Зарегистрируйся исследователи из Aqua Security, атаки с использованием Redigo начинаются со сканирования портов 6379, используемых Redis. Обнаружив конечную точку, хакеры подключаются к ней и пытаются выполнить следующие команды:

  • INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;
  • SLAVEOF – создает копию сервера;
  • REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;

  • PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;
  • MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;
  • SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.

Используя возможности внедренного бэкдора, злоумышленники собирают информацию о хосте, а затем загружают на него Redigo, запуская вредоноса после повышения привилегий.

Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.
 
Источник новости
https://www.securitylab.ru/news/535109.php

Похожие темы