Muhstik Botnet هدف قرار دادن سرورهای redis با استفاده از آسیب پذیری که به تازگی افشا شده است

[Bot]

1401/01/07

Muhstik، یک بوت نت برای انتشار از طریق سوء استفاده از وب سایت، هدف قرار دادن سرورهای Redis با استفاده از یک آسیب پذیری اخیرا افشا شده در سیستم پایگاه داده مشاهده شده است.

آسیب پذیری مربوط به CVE-2022-0543 ، Lua Sandbox فرار فرار در منبع باز، حافظه در حافظه، فروشگاه اطلاعات کلیدی که می تواند مورد آزار و اذیت قرار گیرد برای دستیابی به اجرای کد راه دور بر روی دستگاه اصلی.آسیب پذیری 10 از 10 از 10 برای شدت ارزیابی می شود.

"با توجه به یک مسئله بسته بندی، یک مهاجم از راه دور با توانایی اجرای اسکریپت های دلخواه لوا می تواند از Lua Sandbox فرار کند و کد دلخواه را در میزبان اجرا کند." اوبونتو در ماه گذشته منتشر شد.

با توجه به داده های تله متری گفته شده توسط آزمایشگاه های تهدید Juniper، حملات با استفاده از نقص جدید در تاریخ 11 مارس 2022 آغاز شده است، که منجر به بازیابی یک اسکریپت پوسته مخرب ("روسیه.sh") از یک سرور از راه دور، که پس از آن استفاده می شود بهدوچرخه های بوت نت را از سرور دیگری بردارید و اجرا کنید.

اول مستند شده توسط شرکت امنیتی چینی Netlab 360، Muhstik شناخته شده است فعال از مارس 2018 و برای انجام فعالیت های معدن سکه و حمله به حملات انکار سرویس (DDOS) توزیع شده است.

قادر به انتشار خود در دستگاه های لینوکس و IOT مانند روتر خانه GPON، DD-WRT روتر، و روترهای گوجه فرنگی ، Muhstik در طول سال ها تعداد زیادی از نقص را به نمایش گذاشته است -

• CVE-2017-10271 (CVSS score: 7.5) – An input validation vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware
• CVE-2018-7600 (CVSS score: 9.8) – Drupal remote code execution vulnerability
• CVE-2019-2725 (CVSS score: 9.8) – Oracle WebLogic Server remote code execution vulnerability
• CVE-2021-26084 (CVSS score: 9.8) – An OGNL (Object-Graph Navigation Language) injection flaw in Atlassian Confluence, and
• CVE-2021-44228 (CVSS score: 10.0) – Apache Log4j remote code execution vulnerability (aka Log4Shell)

"این ربات به یک سرور IRC متصل می شود تا دستورات را دریافت کند: فایل های دانلود، دستورات پوسته، حملات سیل، [و] محققان تهاجم SSH، در گزارشی منتشر شده در هفته گذشته منتشر شده اند.

با توجه به بهره برداری فعال از نقص امنیتی بحرانی، کاربران به شدت توصیه می شود به سرعت به حرکت سریع خدمات خود را به آخرین نسخه.

[Bot]

2022/3/27

Muhstik, a botnet infamous for propagating via web application exploits, has been observed targeting Redis servers using a recently disclosed vulnerability in the database system.

The vulnerability relates to CVE-2022-0543, a Lua sandbox escape flaw in the open-source, in-memory, key-value data store that could be abused to achieve remote code execution on the underlying machine. The vulnerability is rated 10 out of 10 for severity.

"Due to a packaging issue, a remote attacker with the ability to execute arbitrary Lua scripts could possibly escape the Lua sandbox and execute arbitrary code on the host," Ubuntu noted in an advisory released last month.

According to telemetry data gathered by Juniper Threat Labs, the attacks leveraging the new flaw are said to have commenced on March 11, 2022, leading to the retrieval of a malicious shell script ("russia.sh") from a remote server, which is then utilized to fetch and execute the botnet binaries from another server.

First documented by Chinese security firm Netlab 360, Muhstik is known to be active since March 2018 and is monetized for carrying out coin mining activities and staging distributed denial-of-service (DDoS) attacks.

Capable of self-propagating on Linux and IoT devices like GPON home router, DD-WRT router, and Tomato routers, Muhstik has been spotted weaponizing a number of flaws over the years –

• CVE-2017-10271 (CVSS score: 7.5) – An input validation vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware
• CVE-2018-7600 (CVSS score: 9.8) – Drupal remote code execution vulnerability
• CVE-2019-2725 (CVSS score: 9.8) – Oracle WebLogic Server remote code execution vulnerability
• CVE-2021-26084 (CVSS score: 9.8) – An OGNL (Object-Graph Navigation Language) injection flaw in Atlassian Confluence, and
• CVE-2021-44228 (CVSS score: 10.0) – Apache Log4j remote code execution vulnerability (aka Log4Shell)

"This bot connects to an IRC server to receive commands which include the following: download files, shell commands, flood attacks, [and] SSH brute force," Juniper Threat Labs researchers said in a report published last week.

In light of active exploitation of the critical security flaw, users are highly recommended to move quickly to patch their Redis services to the latest version.