Se ha observado que Muhstik, una red de bots famosa por propagarse a través de exploits de aplicaciones web, se dirige a los servidores de Redis utilizando una vulnerabilidad recientemente revelada en el sistema de la base de datos.
La vulnerabilidad se relaciona con CVE-2022-0543a Defecto de escape de la caja de arena de Lua en el almacén de datos clave-valor de código abierto, en memoria, del que se podría abusar para lograr la ejecución remota de código en la máquina subyacente. La vulnerabilidad tiene una calificación de 10 sobre 10 en cuanto a gravedad.
“Debido a un problema de empaquetado, un atacante remoto con la capacidad de ejecutar secuencias de comandos Lua arbitrarias podría posiblemente escapar de la caja de arena de Lua y ejecutar código arbitrario en el host”, señaló Ubuntu en un aviso publicado el mes pasado.
De acuerdo a datos de telemetría recopilados por Juniper Threat Labs, se dice que los ataques que aprovechan la nueva falla comenzaron el 11 de marzo de 2022, lo que condujo a la recuperación de un script de shell malicioso (“russia.sh”) de un servidor remoto, que luego se utiliza para obtener y ejecutar los binarios de botnet desde otro servidor.
Primero documentado por la empresa de seguridad china Netlab 360, se sabe que Muhstik es activo desde marzo de 2018 y se monetiza para llevar a cabo actividades de minería de monedas y organizar ataques de denegación de servicio distribuido (DDoS).
Capaz de autopropagarse en dispositivos Linux e IoT como enrutador doméstico GPON, enrutador DD-WRT y Enrutadores de tomateMuhstik ha sido visto armando una serie de fallas a lo largo de los años:
- CVE-2017-10271 (Puntuación CVSS: 7,5): una vulnerabilidad de validación de entrada en el componente Oracle WebLogic Server de Oracle Fusion Middleware
- CVE-2018-7600 (Puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código de Drupal
- CVE-2019-2725 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código de Oracle WebLogic Server
- CVE-2021-26084 (Puntuación CVSS: 9,8) – Una falla de inyección de OGNL (Lenguaje de navegación de gráficos de objetos) en Atlassian Confluence, y
- CVE-2021-44228 (Puntuación CVSS: 10.0) – Vulnerabilidad de ejecución remota de código Apache Log4j (también conocido como Log4Shell)
“Este bot se conecta a un servidor IRC para recibir comandos que incluyen lo siguiente: descargar archivos, comandos de shell, ataques de inundación, [and] Fuerza bruta SSH”, dijeron los investigadores de Juniper Threat Labs en un informe publicado la semana pasada.
A la luz de la explotación activa de la falla de seguridad crítica, se recomienda encarecidamente a los usuarios que se muevan rápidamente para parchear sus servicios de Redis a la última versión.