Хакеры используют малварь Redigo для внедрения бэкдора на серверы Redis

Ранее недокументированное вредоносное ПО на основе Go нацелено на серверы Redis с целью получения контроля над зараженными системами и, вероятно, создания сети ботнетов.

Атаки включают в себя использование критической уязвимости системы безопасности в хранимом ключ-значение с открытым исходным кодом в памяти, которая была раскрыта ранее в этом году для развертывания Redigo, по данным компании по безопасности облачных вычислений Aqua.

Отслеживаемая как CVE-2022-0543 (оценка CVSS: 10,0), уязвимость относится к случаю выхода из песочницы в обработчике сценариев Lua, который можно использовать для удалённого выполнения кода.

Это не первый раз, когда уязвимость подвергается активной эксплуатации, поскольку Juniper Threat Labs раскрывает атаки, совершённые ботнетом Muhstik в марте 2022 года для выполнения произвольных команд.

Цепочка заражения Redigo аналогична тем, что злоумышленники сканируют открытые серверы Redis через порт 6379, чтобы установить первоначальный доступ, после чего загружают общую библиотеку «exp_lin.so» с удаленного сервера.

Этот библиотечный файл содержит эксплойт для CVE-2022-0543, позволяющий выполнить команду для получения Redigo с того же сервера, а также принять меры для маскировки его активности путем имитации легитимной связи кластера Redis через порт 6379.

Неизвестно, какова конечная цель атак, но есть подозрения, что скомпрометированные хосты могут быть объединены в ботнет для облегчения DDoS-атак или использованы для кражи конфиденциальной информации с сервера базы данных для дальнейшего расширения их досягаемости.