Blog by Root View

Encontrá todas las novedades sobre la ciberseguridad, infraestructura y desarrollo.

Explotan vulnerabilidad de Redis para implementar malware Redigo en los servidores

Un malware basado en Go no registrado previamente se dirige a los servidores Redis con el objetivo de tomar el control de los sistemas infectados y probablemente construir una red de botnet.

Los ataques implican aprovechar una vulnerabilidad de seguridad crítica en el almacén de valores clave en memoria de código abierto que se reveló a principios de este año para implementar Redigo, según la empresa de seguridad en la nube Aqua.

Rastreado como CVE-2022-0543 (puntaje CVSS: 10.0), la debilidad se relaciona con un caso de escape de sandbox en el motor de secuencias de comandos Lua que podría aprovecharse para lograr la ejecución remota de código.

Esta no es la primera vez que la falla se encuentra bajo explotación activa, ya que Juniper Threat Labs descubrió ataques perpetrados por la red de bots Muhstik en marzo de 2022 para ejecutar comandos arbitrarios.

La cadena de infección de Redigo es similar en el sentido de que los adversarios buscan servidores Redis expuestos en el puerto 6379 para establecer el acceso inicial, y lo siguen descargando una biblioteca compartida “exp_lin.so” desde un servidor remoto.

Este archivo de biblioteca viene con un exploit para CVE-2022-0543 para ejecutar un comando arbitrario con el fin de recuperar Redigo del mismo servidor, además de tomar medidas para enmascarar su actividad simulando una comunicación de clúster de Redis legítima a través del puerto 6379.

“El malware lanzado imita la comunicación del servidor Redis, lo que permitió a los adversarios ocultar las comunicaciones entre el host objetivo y el servidor C2”, explicó el investigador de Aqua, Nitzan Yaakov.

No se sabe cuál es el objetivo final de los ataques, pero se sospecha que los hosts comprometidos podrían incorporarse a una botnet para facilitar los ataques DDoS o utilizarse para robar información confidencial del servidor de la base de datos para ampliar aún más su alcance.

Fuente: The Hacker News

Total
1
Shares
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prev
CISA advierte sobre vulnerabilidad crítica de Oracle Fusion Middleware explotada activamente

CISA advierte sobre vulnerabilidad crítica de Oracle Fusion Middleware explotada activamente

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE

Next
Vulnerabilidad crítica en comando ping permite tomar control de sistemas FreeBSD

Vulnerabilidad crítica en comando ping permite tomar control de sistemas FreeBSD

Desarrolladores del sistema operativo FreeBSD han lanzado actualizaciones para

También te podría gustar...
Total
1
Share