05/12/22
Вредонос был обнаружен на приманках специалистов Aqua Security. Исследователи назвали его Redigo, объединив в одно слово название целевых серверов (Redis) и язык программирования, на котором написано вредоносное ПО (Go). Для внедрения вредоноса хакеры используют критическую RCE-уязвимость CVE-2022-0543 (имеет 10 баллов из 10 по шкале CVSS), которая позволяет “сбежать из песочницы” обработчика Lua-скриптов в Redis и выполнить произвольный код на удаленном хосте. Это сообщает Securitylab.
Эта брешь в защите актуальна для некоторых вариантов Debian и Ubuntu и была устранена обновлением Redis-пакета до версии 5.6.0.16.-1 в феврале этого года.
И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, PoC-эксплойт доступен всем желающим.
Как сообщают исследователи из Aqua Security, атаки с использованием Redigo начинаются со сканирования портов 6379, используемых Redis. Обнаружив конечную точку, хакеры подключаются к ней и пытаются выполнить следующие команды:
-
INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;
- SLAVEOF – создает копию сервера;
- REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;
- PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;
- MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;
- SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.
Используя возможности внедренного бэкдора, злоумышленники собирают информацию о хосте, а затем загружают на него Redigo, запуская вредоноса после повышения привилегий.
Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.
