Muhstik Botnet visando servidores Redis usando vulnerabilidade divulgada recentemente
Muhstik, um botnet famoso por se propagar por meio de explorações de aplicativos da Web, foi observado visando servidores Redis usando uma vulnerabilidade divulgada recentemente no sistema de banco de dados.
A vulnerabilidade está relacionada ao CVE-2022-0543 , uma falha de escape da sandbox Lua no armazenamento de dados de valor-chave na memória de código aberto que pode ser abusado para obter a execução remota de código na máquina subjacente. A vulnerabilidade é classificada como 10 de 10 para gravidade.
“Devido a um problema de empacotamento, um invasor remoto com a capacidade de executar scripts Lua arbitrários poderia escapar da sandbox Lua e executar código arbitrário no host”, observou o Ubuntu em um comunicado divulgado no mês passado.
De acordo com dados de telemetria coletados pelo Juniper Threat Labs, os ataques que alavancaram a nova falha teriam começado em 11 de março de 2022, levando à recuperação de um script de shell malicioso (“russia.sh”) de um servidor remoto, que é então utilizado para buscar e executar os binários da botnet de outro servidor.
Documentado pela primeira vez pela empresa de segurança chinesa Netlab 360, o Muhstik é conhecido por estar ativo desde março de 2018 e é monetizado por realizar atividades de mineração de moedas e encenar ataques distribuídos de negação de serviço (DDoS).
Capaz de auto-propagação em dispositivos Linux e IoT como roteador doméstico GPON, roteador DD-WRT e roteadores Tomato , Muhstik foi visto armando uma série de falhas ao longo dos anos –
- CVE-2017-10271 (pontuação CVSS: 7,5) – Uma vulnerabilidade de validação de entrada no componente Oracle WebLogic Server do Oracle Fusion Middleware
- CVE-2018-7600 (pontuação CVSS: 9,8) – Vulnerabilidade de execução remota de código Drupal
- CVE-2019-2725 (pontuação CVSS: 9,8) – Vulnerabilidade de execução remota de código do Oracle WebLogic Server
- CVE-2021-26084 (pontuação CVSS: 9,8) – Uma falha de injeção OGNL (Object-Graph Navigation Language) no Atlassian Confluence e
- CVE-2021-44228 (pontuação CVSS: 10.0) – Vulnerabilidade de execução remota de código Apache Log4j (também conhecido como Log4Shell)
“Esse bot se conecta a um servidor de IRC para receber comandos que incluem o seguinte: download de arquivos, comandos de shell, ataques de inundação e força bruta SSH”, disseram os pesquisadores do Juniper Threat Labs em um relatório publicado na semana passada.
À luz da exploração ativa da falha crítica de segurança, é altamente recomendável que os usuários se movam rapidamente para corrigir seus serviços Redis para a versão mais recente.