Web uygulaması açıklarından yararlanma yoluyla yayılmasıyla ünlü bir botnet olan Muhstik’in, veritabanı sisteminde yakın zamanda açıklanan bir güvenlik açığını kullanarak Redis sunucularını hedef aldığı gözlemlendi.
Güvenlik açığı şunlarla ilgilidir: CVE-2022-0543a Lua sanal alan kaçış hatası açık kaynaklı, bellek içi, temeldeki makinede uzaktan kod yürütülmesini sağlamak için kötüye kullanılabilecek anahtar/değer veri deposunda. Güvenlik açığı, önem derecesine göre 10 üzerinden 10 olarak derecelendirilmiştir.
Ubuntu, geçen ay yayınlanan bir danışma belgesinde, “Bir paketleme sorunu nedeniyle, rastgele Lua komut dosyaları yürütme yeteneğine sahip uzak bir saldırgan, Lua sanal alanından kaçabilir ve ana bilgisayar üzerinde rastgele kod yürütebilir” dedi.
Buna göre telemetri verileri Juniper Threat Labs tarafından toplanan bilgilere göre, yeni kusurdan yararlanan saldırıların 11 Mart 2022’de başladığı ve uzak bir sunucudan kötü amaçlı bir kabuk komut dosyasının (“russia.sh”) alınmasına yol açtığı söyleniyor. ve botnet ikili dosyalarını başka bir sunucudan yürütün.
Öncelikle belgelenmiş Çinli güvenlik firması Netlab 360 tarafından Muhstik’in aktif Mart 2018’den beridir ve madeni para madenciliği faaliyetlerini yürütmek ve dağıtılmış hizmet reddi (DDoS) saldırılarını düzenlemek için para kazanmaktadır.
GPON ev yönlendiricisi, DD-WRT yönlendiricisi gibi Linux ve IoT cihazlarında kendi kendine yayılma yeteneğine sahiptir ve Domates yönlendiricileriMuhstik yıllar boyunca bir dizi kusuru silah olarak kullanırken görüldü –
- CVE-2017-10271 (CVSS puanı: 7.5) – Oracle Fusion Middleware’in Oracle WebLogic Server bileşenindeki bir giriş doğrulama güvenlik açığı
- CVE-2018-7600 (CVSS puanı: 9.8) – Drupal uzaktan kod yürütme güvenlik açığı
- CVE-2019-2725 (CVSS puanı: 9.8) – Oracle WebLogic Server uzaktan kod yürütme güvenlik açığı
- CVE-2021-26084 (CVSS puanı: 9.8) – Atlassian Confluence’da bir OGNL (Object-Graph Navigation Language) enjeksiyon hatası ve
- CVE-2021-44228 (CVSS puanı: 10.0) – Apache Log4j uzaktan kod yürütme güvenlik açığı (aka Log4Shell)
“Bu bot, aşağıdakileri içeren komutları almak için bir IRC sunucusuna bağlanır: indirme dosyaları, kabuk komutları, sel saldırıları, [and] Juniper Threat Labs araştırmacıları geçen hafta yayınlanan bir raporda, SSH kaba kuvveti” dedi.
Kritik güvenlik açığından aktif olarak yararlanılmasının ışığında, kullanıcıların Redis hizmetlerini en son sürüme yamalamak için hızlı hareket etmeleri şiddetle tavsiye edilir.