last posts

Neue Go-basierte Redigo-Malware zielt auf Redis-Server Security Affairs

Meta description

Redigo ist eine neue Go-basierte Malware, die bei Angriffen auf Redis-Server verwendet wird, die von der Schwachstelle CVE-2022-0543 betroffen sind.

Forscher der Sicherheitsfirma AquaSec haben neue Go-basierte Malware entdeckt, die in einer Kampagne gegen Redis-Server verwendet wird. Bedrohungsakteure nutzen eine als CVE-2022-0543 identifizierte kritische Schwachstelle in Redis-Servern (Remote Dictionary Server) aus.

Redis (Remote Dictionary Server) ist eine Open-Source-In-Memory-Datenbank und ein Cache.

Der CVE-2022-0543-Fehler ist ein Lua-Sandbox-Escape-Fehler, der Debian und von Debian abgeleitete Linux-Distributionen betrifft. Die Schwachstelle, die für ihren Schweregrad mit 10 von 10 Punkten bewertet wurde, könnte von einem entfernten Angreifer mit der Fähigkeit ausgenutzt werden, beliebige Lua-Skripte auszuführen, um möglicherweise aus der Lua-Sandbox auszubrechen und beliebigen Code auf dem zugrunde liegenden Computer auszuführen . Forscher von Juniper Threat Labs berichteten, dass das Muhstik-Botnetz auf Redis-Server abzielte, die die Schwachstelle CVE-2022-0543 ausnutzten.

Im März 2022 hat die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) diesen Fehler in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Der Fehler wurde im Februar 2022 behoben, aber Bedrohungsakteure nutzen ihn aufgrund der öffentlichen Verfügbarkeit von Proof-of-Concept-Exploit-Code weiterhin in In-the-Wild-Angriffen aus.

Die Angriffskette beginnt mit Scans des Redis-Servers, die Port 6379 dem Internet zugänglich machen, dann versuchen Hacker, eine Verbindung herzustellen und die folgenden Redis-Befehle auszuführen:

  1. INFO-Befehl – Dieser Befehl ermöglicht es Angreifern, Informationen auf unserem Redis-Server zu erhalten. Aus den Daten, die sie erhalten, wissen sie jetzt, welche Version des Servers anfällig für CVE-2022-0543 ist (wie wir bereits erklärt haben, wurde der Honeypot absichtlich mit dieser Schwachstelle gebaut). Diese Informationen geben Angreifern die Genehmigung, die sie benötigen, um die Schwachstelle auszunutzen, und ermöglichen es ihnen, mit der Vorbereitung der Oberfläche zu beginnen, um sie auszunutzen.
  2. SLAVEOF-Befehl – Es ermöglicht Angreifern, eine Kopie des angreifenden Servers zu erstellen. Diese Aktion hilft ihnen dann, das gemeinsam genutzte Objekt herunterzuladen, das die Ausnutzung der Schwachstelle ermöglicht.
  3. REPLCONF-Befehl – Mit diesem Befehl wird eine Verbindung vom Master (dem angreifenden Server) zum gerade erstellten Replikat konfiguriert.
  4. PSYNC-Befehl – Das neue Replikat führt diesen Befehl aus und initiiert einen Replikationsstream vom Master. Diese Verbindung hält das Replikat auf dem neuesten Stand und ermöglicht es dem Master, einen Strom von Befehlen zu senden. Der als Master definierte angreifende Server verwendet diese Verbindung, um die gemeinsam genutzte Bibliothek exp_lin.so auf die Platte des Replikats herunterzuladen. Darüber hinaus kann diese Verbindung Angreifer als Hintertür verwenden, bei denen das Replikat im Falle von Unterbrechungen während der Verbindung erneut eine Verbindung herstellt und versucht, den Teil des Befehlsstroms abzurufen, den es beim Trennen verpasst hat.
  5. MODULE LOAD-Befehl – ermöglicht das Laden eines Moduls aus der in Schritt 4 heruntergeladenen dynamischen Bibliothek während der Ausführung. Diese Bibliothek ermöglicht es, die Schwachstelle auszunutzen und später beliebige Befehle auszuführen.
  6. Befehl PERSON SLAVE – Dies deaktiviert die Replikation und konvertiert den anfälligen Redis-Server zum Master.
Redigo Redis-Malware

Angreifer laden die Bibliotheksdatei exp_lin.so und führen den Exploit-Code für den oben genannten Fehler aus. Die Datei enthält die Implementierung des Befehls system.exec, der es Angreifern ermöglicht, einen beliebigen Befehl auszuführen und den Angriff zu starten.

„Die erste Verwendung des Befehls wird aktiviert, um Informationen über die CPU-Architektur zu erhalten. Die zweite Verwendung des Befehls wird durchgeführt, um die neu entdeckte Malware vom angreifenden Server – Redigo – herunterzuladen. Nach dem Herunterladen der schädlichen Datei erhöhen die Angreifer die Berechtigungen von die auszuführende Datei und führt sie aus (zur Malware-Untersuchung weiter unten) liest die von AquaSec veröffentlichte Analyse.

Bedrohungsakteure simulieren die Redis-Kommunikation auf Port 6379, um der Erkennung zu entgehen.

Die Forscher von AquaSec glauben, dass Bedrohungsakteure Redigo-Malware verwenden, um Redis zu infizieren und sie einem Botnet hinzuzufügen, das verwendet wird, um Denial-of-Service-Angriffe (DDoS) zu starten, Kryptowährungs-Miner auszuführen oder Daten auf den Servern zu stehlen.

Die Forscher stellten auch Indikatoren für Kompromisse (IOC) für diese Bedrohung bereit.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacken, Redis)





Blog In 2021 joker0o xyz




Font Size
+
16
-
lines height
+
2
-