Данная уязвимость была обнаружена и исправлена еще в феврале текущего года, однако хакеры продолжают использовать ее против непропатченных систем, так как далеко не все устанавливают исправления вовремя, а PoC-эксплоит для этой проблемы свободно доступен.
Как теперь сообщают специалисты из компании AquaSec, недавно их приманки оказались заражены новой малварью, которая пока не определяется как угроза антивирусами на Virus Total. Этот вредонос получил название Redigo, и эксперты рассказывают, что его атаки начинаются со сканирования портов 6379, чтобы найти серверы Redis, доступные через интернет. Обнаружив целевую конечную точку, злоумышленник подключается и выполняет следующие команды:
- INFO – проверка версии Redis, чтобы определить, уязвим ли сервер для CVE-2022-0543;
- SLAVEOF – создать копию сервера;
- REPLCONF – настроить подключение сервера к только что созданной реплике;
- PSYNC – инициирование потоковой репликации и загрузка библиотеки exp_lin.so на диск сервера;
- MODULE LOAD – загрузка модуля из скачанной динамической библиотеки, способного выполнять произвольные команды и эксплуатировать CVE-2022-0543;
- SLAVEOF NO ONE – сделать уязвимый сервер Redis master’ом.
После этого, используя возможности внедренного бэкдора, злоумышленники собирают информацию об оборудовании хоста, а затем загружают на него Redigo (redis-1.2-SNAPSHOT). Причем малварь запускается уже после повышения привилегий.
Аналитикам AquaSec не удалось определить, что делает Redigo после того, как закрепился в системе, в силу того, что продолжительность замеченной атаки была ограничена. Однако известно, что злоумышленники стараются скрыть свое присутствие и трафик управляющих серверов Redigo, и для этого имитируют обычные коммуникации с Redis через порт 6379.
Исследователи полагают, что конечной целью Redigo, скорее всего, является майнинг криптовалюты или организация DDoS-атак с помощью скомпрометированных серверов.
Источник: https://xakep.ru/2022/12/02/redigo/