Muhstik, un botnet tristement c\u00e9l\u00e8bre pour se propager via des exploits d’applications Web, a \u00e9t\u00e9 observ\u00e9 ciblant des serveurs Redis en utilisant une vuln\u00e9rabilit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans le syst\u00e8me de base de donn\u00e9es.<\/p>\n
La vuln\u00e9rabilit\u00e9 concerne CVE-2022-0543<\/a>une Faille d’\u00e9chappement du bac \u00e0 sable Lua<\/a> dans le magasin de donn\u00e9es open source, en m\u00e9moire et cl\u00e9-valeur qui pourrait \u00eatre utilis\u00e9 de mani\u00e8re abusive pour r\u00e9aliser l’ex\u00e9cution de code \u00e0 distance sur la machine sous-jacente. La vuln\u00e9rabilit\u00e9 est not\u00e9e 10 sur 10 pour la gravit\u00e9.<\/p>\n “En raison d’un probl\u00e8me d’empaquetage, un attaquant distant ayant la capacit\u00e9 d’ex\u00e9cuter des scripts Lua arbitraires pourrait \u00e9ventuellement \u00e9chapper au bac \u00e0 sable Lua et ex\u00e9cuter du code arbitraire sur l’h\u00f4te”, a not\u00e9 Ubuntu dans un avis publi\u00e9 le mois dernier.<\/p>\n Selon donn\u00e9es de t\u00e9l\u00e9m\u00e9trie<\/a> recueillies par Juniper Threat Labs, les attaques exploitant la nouvelle faille auraient commenc\u00e9 le 11 mars 2022, conduisant \u00e0 la r\u00e9cup\u00e9ration d’un script shell malveillant (“russia.sh”) \u00e0 partir d’un serveur distant, qui est ensuite utilis\u00e9 pour r\u00e9cup\u00e9rer et ex\u00e9cuter les binaires du botnet \u00e0 partir d’un autre serveur.<\/p>\n Premi\u00e8re document\u00e9<\/a> par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 chinoise Netlab 360, Muhstik est connu pour \u00eatre actif<\/a> depuis mars 2018 et est mon\u00e9tis\u00e9 pour mener des activit\u00e9s d’extraction de pi\u00e8ces et organiser des attaques par d\u00e9ni de service distribu\u00e9 (DDoS).<\/p>\n Capable de se propager sur les appareils Linux et IoT tels que le routeur domestique GPON, le routeur DD-WRT et Routeurs de tomates<\/a>Muhstik a \u00e9t\u00e9 rep\u00e9r\u00e9 en train de militariser un certain nombre de d\u00e9fauts au fil des ans –<\/p>\n “Ce bot se connecte \u00e0 un serveur IRC pour recevoir des commandes telles que\u00a0: t\u00e9l\u00e9charger des fichiers, des commandes shell, des attaques par inondation, [and] Force brute SSH”, ont d\u00e9clar\u00e9 les chercheurs de Juniper Threat Labs dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n \u00c0 la lumi\u00e8re de l’exploitation active de la faille de s\u00e9curit\u00e9 critique, il est fortement recommand\u00e9 aux utilisateurs d’agir rapidement pour mettre \u00e0 jour leurs services Redis vers la derni\u00e8re version.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n\n