Un malware basado en Go no documentado previamente se dirige a los servidores Redis con el objetivo de tomar el control de los sistemas infectados y probablemente construir una red de botnet.
Los ataques implican aprovechar una vulnerabilidad de seguridad crítica en el almacén de clave-valor en memoria de código abierto que se reveló a principios de este año para implementar rojosegún la firma de seguridad en la nube Agua.
Rastreado como CVE-2022-0543 (puntaje CVSS: 10.0), la debilidad se relaciona con un caso de escape de sandbox en el motor de secuencias de comandos Lua que podría aprovecharse para lograr la ejecución remota de código.
Esta no es la primera vez que la falla se encuentra bajo explotación activa, ya que Juniper Threat Labs descubrió ataques perpetrados por la red de bots Muhstik en marzo de 2022 para ejecutar comandos arbitrarios.
La cadena de infección de Redigo es similar en el sentido de que los adversarios buscan servidores Redis expuestos en el puerto 6379 para establecer el acceso inicial, y lo siguen descargando una biblioteca compartida “exp_lin.so” desde un servidor remoto.
Este archivo de biblioteca viene con un exploit para CVE-2022-0543 para ejecutar un comando con el fin de recuperar Redigo del mismo servidor, además de tomar medidas para enmascarar su actividad simulando una comunicación de clúster de Redis legítima a través del puerto 6379.
“El malware lanzado imita la comunicación del servidor Redis, lo que permitió a los adversarios ocultar las comunicaciones entre el host objetivo y el servidor C2”, explicó el investigador de Aqua, Nitzan Yaakov.
No se sabe cuál es el objetivo final de los ataques, pero se sospecha que los hosts comprometidos podrían incorporarse a una botnet para facilitar los ataques DDoS o utilizarse para robar información confidencial del servidor de la base de datos para ampliar aún más su alcance.