一个以前未被记录的基于Go的恶意软件以Redis服务器为目标,目的是控制受感染的系统,并可能构建僵尸网络。
据云安全公司Aqua称,这些攻击涉及利用今年早些时候披露的开源内存密钥值存储中的一个关键安全漏洞来部署Redigo。
被追踪为CVE-2022-0543(CVSS得分:10.0),该弱点与Lua脚本引擎中的沙盒逃逸有关,可以利用该漏洞实现远程代码执行。
这并不是该漏洞第一次被主动利用,Juniper Threat Labs于2022年3月发现了Muhstik僵尸网络为执行任意命令而实施的攻击。
Redigo感染链类似,对手扫描端口6379上暴露的Redis服务器以建立初始访问,然后从远程服务器下载共享库“exp_lin.so”。
此库文件附带了CVE-2022-0543执行命令以从同一服务器检索Redigo的漏洞,此外,还通过模拟端口6379上的合法Redis集群通信来采取措施屏蔽其活动。
Aqua研究人员Nitzan Yaakov解释道:“被丢弃的恶意软件模仿了Redis服务器通信,这使得对手能够隐藏目标主机和C2服务器之间的通信。”。
目前尚不清楚这些攻击的最终目标是什么,但有人怀疑,被入侵的主机可能会被加入僵尸网络,以促进DDoS攻击,或者被用来从数据库服务器窃取敏感信息,以进一步扩大其影响范围。
参考链接:
[1] https://thehackernews.com/2022/12/hackers-exploiting-redis-vulnerability.html
声明:本安全公告仅用来描述可能存在的安全问题,本公众号不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责
✦
✦
原文始发于微信公众号(白帽学子):黑客利用Redis漏洞在服务器上部署新的Redigo恶意软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论