Web uygulaması açıklarından yararlanma yoluyla yayılmasıyla ünlü bir botnet olan Muhstik’in, veritabanı sisteminde yakın zamanda açıklanan bir güvenlik açığını kullanarak Redis sunucularını hedef aldığı gözlemlendi.
Güvenlik açığı şunlarla ilgilidir: CVE-2022-0543a Lua sanal alan kaçış hatası açık kaynaklı, bellek içi, temeldeki makinede uzaktan kod yürütülmesini sağlamak için kötüye kullanılabilecek anahtar/değer veri deposunda. Güvenlik açığı, önem derecesine göre 10 üzerinden 10 olarak derecelendirilmiştir.
Ubuntu, geçen ay yayınlanan bir danışma belgesinde, “Bir paketleme sorunu nedeniyle, rastgele Lua komut dosyaları yürütme yeteneğine sahip uzak bir saldırgan, Lua sanal alanından kaçabilir ve ana bilgisayar üzerinde rastgele kod yürütebilir” dedi.
Buna göre telemetri verileri Juniper Threat Labs tarafından toplanan bilgilere göre, yeni kusurdan yararlanan saldırıların 11 Mart 2022’de başladığı ve uzak bir sunucudan kötü amaçlı bir kabuk komut dosyasının (“russia.sh”) alınmasına yol açtığı söyleniyor. ve botnet ikili dosyalarını başka bir sunucudan yürütün.
Öncelikle belgelenmiş Çinli güvenlik firması Netlab 360 tarafından Muhstik’in aktif Mart 2018’den beridir ve madeni para madenciliği faaliyetlerini yürütmek ve dağıtılmış hizmet reddi (DDoS) saldırılarını düzenlemek için para kazanmaktadır.
GPON ev yönlendiricisi, DD-WRT yönlendiricisi gibi Linux ve IoT cihazlarında kendi kendine yayılma yeteneğine sahiptir ve Domates yönlendiricileriMuhstik yıllar boyunca bir dizi kusuru silah olarak kullanırken görüldü –
“Bu bot, aşağıdakileri içeren komutları almak için bir IRC sunucusuna bağlanır: indirme dosyaları, kabuk komutları, sel saldırıları, [and] Juniper Threat Labs araştırmacıları geçen hafta yayınlanan bir raporda, SSH kaba kuvveti” dedi.
Kritik güvenlik açığından aktif olarak yararlanılmasının ışığında, kullanıcıların Redis hizmetlerini en son sürüme yamalamak için hızlı hareket etmeleri şiddetle tavsiye edilir.