Muhstik, một mạng botnet nổi tiếng về việc tuyên truyền thông qua khai thác ứng dụng web, đã được quan sát thấy nhắm mục tiêu vào các máy chủ của Redis bằng cách sử dụng một lỗ hổng được tiết lộ gần đây trong hệ thống cơ sở dữ liệu.
Lỗ hổng liên quan đến CVE-2022-0543, một lỗ hổng thoát hộp cát Lua trong kho dữ liệu mã nguồn mở, trong bộ nhớ, giá trị khóa có thể bị lạm dụng để thực thi mã từ xa trên máy bên dưới. Lỗ hổng bảo mật được xếp hạng 10/10 về mức độ nghiêm trọng.
“Do sự cố đóng gói, kẻ tấn công từ xa có khả năng thực thi các tập lệnh Lua tùy ý có thể thoát khỏi hộp cát Lua và thực thi mã tùy ý trên máy chủ”, Ubuntu lưu ý trong một lời khuyên được phát hành vào tháng trước.
Theo dữ liệu đo từ xa do Juniper Threat Labs thu thập, các cuộc tấn công tận dụng lỗ hổng mới được cho là bắt đầu vào ngày 11 tháng 3 năm 2022, dẫn đến việc truy xuất một tập lệnh shell độc hại (“russia.sh”) từ một máy chủ từ xa, đó là sau đó được sử dụng để tìm nạp và thực thi các mã nhị phân botnet từ một máy chủ khác.
Được ghi nhận lần đầu bởi công ty bảo mật Netlab 360 của Trung Quốc, Muhstik được biết là đã hoạt động kể từ tháng 3 năm 2018 và được kiếm tiền từ việc thực hiện các hoạt động khai thác tiền xu và dàn dựng các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
Có khả năng tự lan truyền trên các thiết bị Linux và IoT như bộ định tuyến gia đình GPON, bộ định tuyến DD-WRT và bộ định tuyến Tomato, Muhstik đã được phát hiện vũ khí hóa một số lỗi trong nhiều năm –
CVE-2017-10271 (Điểm CVSS: 7,5) – Một lỗ hổng xác thực đầu vào trong thành phần Máy chủ WebLogic Oracle của Oracle Fusion Middleware
CVE-2018-7600 (Điểm CVSS: 9,8) – Lỗ hổng thực thi mã từ xa Drupal
CVE-2019-2725 (Điểm CVSS: 9,8) – Lỗ hổng thực thi mã từ xa của Máy chủ WebLogic Oracle
CVE-2021-26084 (Điểm CVSS: 9,8) – Một lỗ hổng chèn OGNL (Object-Graph Navigation Language) trong Atlassian Confluence, và
CVE-2021-44228 (Điểm CVSS: 10.0) – Lỗ hổng thực thi mã từ xa Apache Log4j (hay còn gọi là Log4Shell)
“Bot này kết nối với máy chủ IRC để nhận các lệnh bao gồm các lệnh sau: tải xuống tệp, lệnh trình bao, tấn công lũ, [and] Các nhà nghiên cứu của Juniper Threat Labs cho biết trong một báo cáo được công bố vào tuần trước.
Do việc khai thác tích cực lỗ hổng bảo mật quan trọng, người dùng được khuyến nghị nhanh chóng tiến hành vá các dịch vụ Redis của họ lên phiên bản mới nhất.
.
