Ботнет Muhstik атакует серверы Redis

Ботнет Muhstik атакует серверы Redis

Вредоносное ПО эксплуатирует уязвимость обхода песочницы в Lua (CVE-2022-0543).

Ботнет Muhstik, известный тем, что распространяется через уязвимости в web-приложениях, теперь атакует серверы Redis через недавно раскрытую уязвимость обхода песочницы в Lua ( CVE-2022-0543 ). Уязвимость получила 10 из 10 баллов по шкале оценивания опасности и позволяет удаленно выполнить код на системе с уязвимым ПО.

Как сообщается в опубликованном в прошлом месяце уведомлении безопасности Ubuntu, «из-за проблем с пакетом удаленный злоумышленник, имеющий возможность выполнять произвольные скрипты Lua, может обходить песочницу Lua и выполнять произвольный код на хосте».

Согласно данным телеметрии Juniper Threat Labs, атаки с использованием данной уязвимости начались 11 марта 2022 года. Атаки заключаются в извлечении с удаленного сервера вредоносного shell-скрипта russia.sh, который затем извлекает и выполняет код ботнета с другого сервера.

Впервые задокументированный специалистами китайской ИБ-компании Netlab 360 ботнет Muhstik активный с марта 2018 года и используется для майнинга криптовалюты и осуществления DDoS-атак.

Вредонос способен распространяться подобно червю на Linux- и IoT-устройствах наподобие домашних маршрутизаторов GPON, DD-WRT и Tomato. За последние несколько лет он эксплуатировал следующие уязвимости:

CVE-2017-10271 (оценка CVSS 7,5 балла) – уязвимость проверки вводимых данных в компоненте Oracle WebLogic Server пакета программ Oracle Fusion Middleware;

CVE-2018-7600 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Drupal;

CVE-2019-2725 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Oracle WebLogic Server;

CVE-2021-26084 (оценка CVSS 9,8 балла) – уязвимость инъекции OGNL (Object-Graph Navigation Language) в Atlassian Confluence;

CVE-2021-44228 (оценка CVSS 10,0 балла) – уязвимость удаленного выполнения кода в Apache Log4j (Log4Shell).

«Бот подключается к IRC-серверу для получения команд, включая загрузку файлов, выполнение shell-команд, осуществление DDoS-атак и брутфорс SSH», – сообщается в отчет Juniper Threat Labs.

В связи с эксплуатацией уязвимости CVE-2022-0543 в хакерских атаках пользователям настоятельно рекомендуется как можно скорее обновить свои серверы Redis до последней версии.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!