Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Neue Go-basierte Malware zielt auf verwundbare Redis-Server
12. Dezember 2022. TuxCare PR Team
Aqua Nautilus, ein Cloud-Sicherheitsunternehmen, entdeckte eine neue Go-basierte Malware, die auf Redis (Remote-Dictionary-Server), eine Open-Source-In-Memory-Datenbank und einen Cache, abzielt.
Die Schwachstelle wurde als CVE-2022-0543 (CVSS-Score: 10.0) identifiziert. Dabei handelt es sich um einen Fall von Sandbox-Escape in der Lua-Skripting-Engine, der zur Remotecodeausführung ausgenutzt werden kann.
Die Malware, die noch nicht von den Antiviren-Engines von VirusTotal erkannt wurde, wurde in Golang geschrieben und sollte Redis-Server angreifen, damit der angreifende Server die Kontrolle über den kompromittierten Rechner erlangen kann.
Obwohl die Schwachstelle bereits im Februar entdeckt und behoben wurde, nutzen die Angreifer Redigo aus, um eine kritische Sicherheitslücke in dem Open-Source-Speicher für Schlüsselwerte auszunutzen, die Anfang des Jahres bekannt wurde. In der Zwischenzeit nutzten Angreifer Redigo noch Monate nach der Veröffentlichung der Korrektur auf ungepatchten Rechnern, da Proof-of-Concept-Exploit-Code veröffentlicht wurde.
Angriffe mit Redigo beginnen mit Scans des Ports 6379, um exponierte Redis-Instanzen zu finden. Anschließend werden verschiedene Befehle ausgeführt, z. B. der INFO-Befehl, der es Angreifern ermöglicht, Informationen über unseren Redis-Server zu erhalten, und der SLAVEOF-Befehl, der es Bedrohungsakteuren ermöglicht, eine Replik des angreifenden Servers zu erstellen und sie später beim Herunterladen des freigegebenen Objekts zu unterstützen, wodurch die Sicherheitslücke ausgenutzt werden kann.
Außerdem gibt es den Befehl REPLCONF, der eine Verbindung vom Master (dem angreifenden Server) zum neu erstellten Replikat konfiguriert, und den Befehl PSYNC, den das neue Replikat ausführt und einen Replikationsstrom vom Master initiiert, um das Replikat auf dem neuesten Stand zu halten und es dem Master zu ermöglichen, einen Strom von Befehlen zu senden. Der Befehl MODULE LOAD ermöglicht das Laden eines Moduls aus der in Stufe 4 heruntergeladenen dynamischen Bibliothek zur Laufzeit. Schließlich deaktiviert der Befehl SLAVEOF NO ONE die Replikation und macht den anfälligen Redis-Server zum Master.
Bevor Redigo heruntergeladen und ausgeführt wird, sammelt die Backdoor mithilfe ihrer Befehlsausführungsfunktionen Informationen über die Host-Hardware. Während die Prozesse von Redigo, nachdem er in der Umgebung Fuß gefasst hat, aufgrund der begrenzten Angriffsdauer in Aquasec-Honeypots unbekannt sind, glauben Aquasec-Forscher, dass anfällige Server von der Malware als Bot für verteilte Denial-of-Service-Angriffe und Kryptowährungs-Mining-Angriffe hinzugefügt werden könnten.
Den Forschern zufolge könnten Angreifer die Malware auch nutzen, um den Diebstahl von Redis-Daten zu erleichtern.
Zu den Quellen für diesen Beitrag gehört ein Artikel in Bleepingcomputer.
