Muhstik Botnet visando servidores Redis usando vulnerabilidade divulgada recentemente

A vulnerabilidade está relacionada ao CVE-2022-0543 , uma falha de escape da sandbox Lua no armazenamento de dados de valor-chave na memória de código aberto que pode ser abusado para obter a execução remota de código na máquina subjacente. A vulnerabilidade é classificada como 10 de 10 para gravidade.

“Devido a um problema de empacotamento, um invasor remoto com a capacidade de executar scripts Lua arbitrários poderia escapar da sandbox Lua e executar código arbitrário no host”, observou o Ubuntu em um comunicado divulgado no mês passado.

De acordo com dados de telemetria coletados pelo Juniper Threat Labs, os ataques que alavancaram a nova falha teriam começado em 11 de março de 2022, levando à recuperação de um script de shell malicioso (“russia.sh”) de um servidor remoto, que é então utilizado para buscar e executar os binários da botnet de outro servidor.

Documentado pela primeira vez pela empresa de segurança chinesa Netlab 360, o Muhstik é conhecido por estar ativo desde março de 2018 e é monetizado por realizar atividades de mineração de moedas e encenar ataques distribuídos de negação de serviço (DDoS).

Capaz de auto-propagação em dispositivos Linux e IoT como roteador doméstico GPON, roteador DD-WRT e roteadores Tomato , Muhstik foi visto armando uma série de falhas ao longo dos anos –

• CVE-2017-10271 (pontuação CVSS: 7,5) – Uma vulnerabilidade de validação de entrada no componente Oracle WebLogic Server do Oracle Fusion Middleware
• CVE-2018-7600 (pontuação CVSS: 9,8) – Vulnerabilidade de execução remota de código Drupal
• CVE-2019-2725 (pontuação CVSS: 9,8) – Vulnerabilidade de execução remota de código do Oracle WebLogic Server
• CVE-2021-26084 (pontuação CVSS: 9,8) – Uma falha de injeção OGNL (Object-Graph Navigation Language) no Atlassian Confluence e
• CVE-2021-44228 (pontuação CVSS: 10.0) – Vulnerabilidade de execução remota de código Apache Log4j (também conhecido como Log4Shell)

“Esse bot se conecta a um servidor de IRC para receber comandos que incluem o seguinte: download de arquivos, comandos de shell, ataques de inundação e força bruta SSH”, disseram os pesquisadores do Juniper Threat Labs em um relatório publicado na semana passada.

À luz da exploração ativa da falha crítica de segurança, é altamente recomendável que os usuários se movam rapidamente para corrigir seus serviços Redis para a versão mais recente.