Новое вредоносное ПО Redigo атакует серверы Redis

Redis Redigo вредоносное ПО Aqua Security Golang
Новое вредоносное ПО Redigo атакует серверы Redis
Redis Redigo вредоносное ПО Aqua Security Golang

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.

image

Вредонос был обнаружен на приманках специалистов Aqua Security. Исследователи назвали его Redigo, объединив в одно слово название целевых серверов (Redis) и язык программирования, на котором написано вредоносное ПО (Go). Для внедрения вредоноса хакеры используют критическую RCE-уязвимость CVE-2022-0543 (имеет 10 баллов из 10 по шкале CVSS), которая позволяет “сбежать из песочницы” обработчика Lua-скриптов в Redis и выполнить произвольный код на удаленном хосте. Эта брешь в защите актуальна для некоторых вариантов Debian и Ubuntu и была устранена обновлением Redis-пакета до версии 5.6.0.16.-1 в феврале этого года.

И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, PoC-эксплойт доступен всем желающим.

Как сообщают исследователи из Aqua Security, атаки с использованием Redigo начинаются со сканирования портов 6379, используемых Redis. Обнаружив конечную точку, хакеры подключаются к ней и пытаются выполнить следующие команды:

  • INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;

  • SLAVEOF – создает копию сервера;

  • REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;

  • PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;

  • MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;

  • SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.

Используя возможности внедренного бэкдора, злоумышленники собирают информацию о хосте, а затем загружают на него Redigo, запуская вредоноса после повышения привилегий.

Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Новости по теме

Fujitsu сообщила о масштабной кибератаке и краже конфиденциальных данных

CISA открывает доступ к оружию властей против вирусов: Malware Next-Gen теперь доступен всем

Google против криптомошенничества: судебный иск должен остудить пыл китайских преступников

Фейковые криптокошельки заполонили официальный магазин приложений Ubuntu

В 2024 году ИИ будет вести игру против нас: прогноз трендов киберпреступлений

Хакеры вымогают полмиллиарда у крупнейшего землевладельца России

Конец виртуальной инфраструктуры: Agenda наносит мощный удар по организациям

Киберудар по Латинской Америке: TA558 распространяет Venom RAT

Свободу Redis: форк Valkey стал маяком надежды в море строгих лицензий