Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Новое вредоносное ПО Redigo атакует серверы Redis

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 03-12-2025, 02:10 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.

Вредонос был обнаружен на приманках специалистов Aqua Security. Исследователи назвали его Redigo, объединив в одно слово название целевых серверов (Redis) и язык программирования, на котором написано вредоносное ПО (Go). Для внедрения вредоноса хакеры используют критическую RCE-уязвимость CVE-2022-0543 (имеет 10 баллов из 10 по шкале CVSS), которая позволяет “сбежать из песочницы” обработчика Lua-скриптов в Redis и выполнить произвольный код на удаленном хосте. Эта брешь в защите актуальна для некоторых вариантов Debian и Ubuntu и была устранена обновлением Redis-пакета до версии 5.6.0.16.-1 в феврале этого года.
И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, PoC-эксплойт доступен всем желающим.
Как сообщают исследователи из Aqua Security, атаки с использованием Redigo начинаются со сканирования портов 6379, используемых Redis. Обнаружив конечную точку, хакеры подключаются к ней и пытаются выполнить следующие команды:
  • INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;

  • SLAVEOF – создает копию сервера;

  • REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;

  • PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;

  • MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;

  • SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.

Используя возможности внедренного бэкдора, злоумышленники собирают информацию о хосте, а затем загружают на него Redigo, запуская вредоноса после повышения привилегий.
Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:48 PM.

Contact Us - Carder.life - Archive - Top