Новое вредоносное ПО Redigo атакует серверы Redis

Новое вредоносное ПО Redigo атакует серверы Redis

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.

Вредонос был обнаружен на приманках специалистов Aqua Security. Исследователи назвали его Redigo, объединив в одно слово название целевых серверов (Redis) и язык программирования, на котором написано вредоносное ПО (Go). Для внедрения вредоноса хакеры используют критическую RCE-уязвимость CVE-2022-0543 (имеет 10 баллов из 10 по шкале CVSS), которая позволяет “сбежать из песочницы” обработчика Lua-скриптов в Redis и выполнить произвольный код на удаленном хосте. Эта брешь в защите актуальна для некоторых вариантов Debian и Ubuntu и была устранена обновлением Redis-пакета до версии 5.6.0.16.-1 в феврале этого года.

И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, PoC-эксплойт доступен всем желающим.

Как сообщают исследователи из Aqua Security, атаки с использованием Redigo начинаются со сканирования портов 6379, используемых Redis. Обнаружив конечную точку, хакеры подключаются к ней и пытаются выполнить следующие команды:

  • INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;

  • SLAVEOF – создает копию сервера;

  • REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;

  • PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;

  • MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;

  • SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.

Используя возможности внедренного бэкдора, злоумышленники собирают информацию о хосте, а затем загружают на него Redigo, запуская вредоноса после повышения привилегий.

Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!