Daha önce belgelenmemiş Go tabanlı bir kötü amaçlı yazılım, virüs bulaşmış sistemlerin kontrolünü ele geçirmek ve muhtemelen bir botnet ağı oluşturmak amacıyla Redis sunucularını hedefliyor.
Saldırılar, bu yılın başlarında dağıtılacağı açıklanan açık kaynaklı, bellek içi, anahtar/değer deposundaki kritik bir güvenlik açığından yararlanmayı içeriyor. Redigobulut güvenlik firmasına göre su.
CVE-2022-0543 (CVSS puanı: 10.0) olarak izlenen zayıflık, Lua komut dosyası oluşturma motorunda uzaktan kod yürütme elde etmek için kullanılabilecek bir sanal alan kaçış durumuyla ilgilidir.
Juniper Threat Labs’in Mart 2022’de Muhstik botnet tarafından keyfi komutları yürütmek için gerçekleştirilen saldırıları ortaya çıkarmasıyla birlikte, kusur ilk kez aktif olarak sömürülmüyor.
Redigo bulaşma zinciri, saldırganların ilk erişimi sağlamak için 6379 numaralı bağlantı noktasında açığa çıkan Redis sunucularını taraması ve bunu uzak bir sunucudan paylaşılan bir kitaplık “exp_lin.so” indirerek takip etmesi bakımından benzerdir.
Bu kitaplık dosyası, CVE-2022-0543’ün 6379 numaralı bağlantı noktası üzerinden meşru Redis kümesi iletişimini simüle ederek etkinliğini maskelemek için adımlar atmanın yanı sıra aynı sunucudan Redigo’yu almak üzere bir komut yürütmeye yönelik bir açıktan yararlanma ile birlikte gelir.
Aqua araştırmacısı Nitzan Yaakov, “Düşen kötü amaçlı yazılım, rakiplerin hedeflenen ana bilgisayar ile C2 sunucusu arasındaki iletişimleri gizlemesine izin veren Redis sunucusu iletişimini taklit ediyor” dedi.
Saldırıların nihai amacının ne olduğu bilinmiyor, ancak güvenliği ihlal edilen ana bilgisayarların DDoS saldırılarını kolaylaştırmak için bir botnet’e dahil edilebileceğinden veya erişimlerini daha da genişletmek için veritabanı sunucusundan hassas bilgileri çalmak için kullanılabileceğinden şüpheleniliyor.
