Muhstik, un botnet tristement célèbre pour se propager via des exploits d’applications Web, a été observé ciblant des serveurs Redis en utilisant une vulnérabilité récemment révélée dans le système de base de données.
La vulnérabilité concerne CVE-2022-0543une Faille d’échappement du bac à sable Lua dans le magasin de données open source, en mémoire et clé-valeur qui pourrait être utilisé de manière abusive pour réaliser l’exécution de code à distance sur la machine sous-jacente. La vulnérabilité est notée 10 sur 10 pour la gravité.
« En raison d’un problème d’empaquetage, un attaquant distant ayant la capacité d’exécuter des scripts Lua arbitraires pourrait éventuellement échapper au bac à sable Lua et exécuter du code arbitraire sur l’hôte », a noté Ubuntu dans un avis publié le mois dernier.
Selon données de télémétrie recueillies par Juniper Threat Labs, les attaques exploitant la nouvelle faille auraient commencé le 11 mars 2022, conduisant à la récupération d’un script shell malveillant (« russia.sh ») à partir d’un serveur distant, qui est ensuite utilisé pour récupérer et exécuter les binaires du botnet à partir d’un autre serveur.
Première documenté par la société de sécurité chinoise Netlab 360, Muhstik est connu pour être actif depuis mars 2018 et est monétisé pour mener des activités d’extraction de pièces et organiser des attaques par déni de service distribué (DDoS).
Capable de se propager sur les appareils Linux et IoT tels que le routeur domestique GPON, le routeur DD-WRT et Routeurs de tomatesMuhstik a été repéré en train de militariser un certain nombre de défauts au fil des ans –
- CVE-2017-10271 (Score CVSS : 7,5) – Une vulnérabilité de validation d’entrée dans le composant Oracle WebLogic Server d’Oracle Fusion Middleware
- CVE-2018-7600 (Score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Drupal
- CVE-2019-2725 (Score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Oracle WebLogic Server
- CVE-2021-26084 (score CVSS : 9,8) – Une faille d’injection OGNL (Object-Graph Navigation Language) dans Atlassian Confluence, et
- CVE-2021-44228 (Score CVSS : 10,0) – Vulnérabilité d’exécution de code à distance Apache Log4j (alias Log4Shell)
« Ce bot se connecte à un serveur IRC pour recevoir des commandes telles que : télécharger des fichiers, des commandes shell, des attaques par inondation, [and] Force brute SSH », ont déclaré les chercheurs de Juniper Threat Labs dans un rapport publié la semaine dernière.
À la lumière de l’exploitation active de la faille de sécurité critique, il est fortement recommandé aux utilisateurs d’agir rapidement pour mettre à jour leurs services Redis vers la dernière version.