El malware Redigo inyecta una puerta trasera en los servidores Redis

Redis 1

Los expertos han advertido sobre la aparición de un nuevo malware Redigo escrito en Go. El malware se dirige a los servidores Redis y explota la vulnerabilidad CVE-2022-0543 para instalar una puerta trasera oculta y ejecutar comandos.

Esta vulnerabilidad fue descubierta y reparada en febrero de este año, sin embargo, los piratas informáticos continúan usándola contra sistemas sin parches, ya que no todos instalan los parches a tiempo, y un PoC exploit para este problema está disponible gratuitamente .

Según los expertos de AquaSec , sus cebos han sido infectados recientemente con un nuevo malware, que aún no es identificado como una amenaza por los antivirus de Virus Total. Este malware se llama Redigo, y los expertos dicen que sus ataques comienzan escaneando los puertos 6379 para encontrar servidores Redis a los que se pueda acceder a través de Internet. Una vez que se encuentra el punto final de destino, el atacante se conecta y ejecuta los siguientes comandos:

  • INFORMACIÓN: verifique la versión de Redis para determinar si el servidor es vulnerable a CVE-2022-0543;
  • SLAVEOF – crea una copia del servidor;
  • REPLCONF: configura la conexión del servidor a la réplica recién creada;
  • PSYNC: iniciar la replicación de transmisión y cargar la biblioteca exp_lin.so en el disco del servidor;
  • CARGA DE MÓDULO: cargar un módulo de una biblioteca dinámica descargada capaz de ejecutar comandos arbitrarios y explotar CVE-2022-0543;
  • SLAVEOF NO ONE: haga que el vulnerable servidor Redis sea el maestro.

asdfas

 

Después de eso, utilizando las capacidades de la puerta trasera inyectada, los atacantes recopilan información sobre el hardware del host y luego descargan Redigo (redis-1.2-SNAPSHOT) en él. Además, el malware se inicia después de la escalada de privilegios.

Los analistas de AquaSec no pudieron determinar qué estaba haciendo Redigo después de afianzarse en el sistema, debido al hecho de que la duración del ataque detectado fue limitada. Sin embargo, se sabe que los atacantes intentan ocultar su presencia y el tráfico de los servidores de control de Redigo, y para ello imitan las comunicaciones normales con Redis a través del puerto 6379.

Los investigadores creen que el objetivo final de Redigo probablemente sea la minería de criptomonedas u organizar ataques DDoS utilizando servidores comprometidos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *