首页 > 安全 > 正文

Muhstik Botnet使用最近披露的漏洞定位redis服务器

最后更新 :2022.03.28

已经观察到Muhstik Botnet定位redis服务器利用最近公开的CVE-2022-0543漏洞。

Muhstik 是一个已知使用Web应用程序的僵尸网络用于危及IOT设备,它已经存在截止到2018年。僵尸网络运营商通过XMRIG与&NBSP混合将其努力货币化; DDOS-for-Hire  

僵尸网络利用IRC服务器进行指令和控制(C2)通信,专家注意到它一直使用相同的基础架构,因为它首先出现在威胁景观中。

机器人通过损害家庭路由器传播,但专家观察了多次尝试的利用用于Linux服务器传播。目标路由器列表包括GPON Home Router,DD-WRT路由器和番茄路由器。

Bot包括用于Oracle WebLogic Server漏洞CVE-2019-2725和CVE-2017-10271的利用,以及Drupal RCE缺陷追踪为CVE-2018-7600。

现在研究人员从瞻博网络威胁实验室观察到Muhstik Botnet利用CVE-2022-0543 Lua Sandbox Escape漏洞,影响Debian和Debian-errive Linux发行版。


瞻博网络威胁实验室已经发现了一种攻击,它使用最近披露的漏洞,即CVE-2022-0543。某些Redis Debian软件包存在此漏洞。该攻击于3月11日开始于2022年,来自我们看到的同一威胁演员,我们在2021年9月2021年9月返回了Confluence服务器;和同一组在12月份瞄准Log4J。读取瞻博网络发布的分析。使用的有效载荷是Muhstik Bot的变体,可用于启动DDOS攻击。 漏洞,其中10个用于严重程度10分,可以通过远程攻击者利用具有执行任意的能力的能力来利用Lua脚本可能逃脱Lua Sandbox并在底层机器上执行任意代码。 利用CVE-2022-0543漏洞的攻击于2022年3月11日开始,攻击者正在尝试使用  wget 或卷曲来自“106 [。] 246.224。 219“。它将其节省为“/ tmp / Russ”并执行它。专家指出,漏洞与Redis无关,而是存在,因为一些Debian / Ubuntu包中的Lua库作为一个动态库(Ubuntu仿生和信任不受影响)。在初始化Lua解释器时,“包”变量会自动填充,又允许访问任意Lua功能。   研究人员集UP攻击redis服务器并启动了A 概念证明 利用代码是使用“eval”命令的Lua脚本。 研究人员展示了他们能够通过倾倒&etc / pas的内容来实现代码执行; / etc / pasSWD。   研究人员为这些攻击共享妥协指标(IOC)。我们建议那些可能易于修补他们的REDIS服务的人。结束了报告。Debian和Ubuntu还发布了关于此事的安全建议。链接以下:  Debian咨询  Ubuntu咨询

- END -

看更多