Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Nuevo malware basado en Go dirigido a servidores Redis vulnerables
12 de diciembre de 2022 - Equipo de RRPP de TuxCare
Aqua Nautilus, una empresa de seguridad en la nube, descubrió un nuevo malware basado en Go que tiene como objetivo Redis (servidor de diccionario remoto), una base de datos en memoria y caché de código abierto.
El ataque se llevó a cabo contra uno de sus honeypots Redis deliberadamente vulnerables, y la vulnerabilidad fue rastreada como CVE-2022-0543 (puntuación CVSS: 10,0), que es un caso de escape de sandbox en el motor de scripting Lua que podría ser explotado para obtener la ejecución remota de código.
El malware, que aún no ha sido detectado por los motores antivirus de VirusTotal, estaba escrito en Golang y tenía como objetivo los servidores Redis para que el servidor atacante se hiciera con el control de la máquina comprometida.
A pesar de que se descubrió y corrigió en febrero, los ataques consisten en desplegar Redigo aprovechando una vulnerabilidad de seguridad crítica en el almacén de valores clave en memoria de código abierto que se reveló a principios de este año. Mientras tanto, los atacantes siguieron utilizándolo en máquinas sin parches meses después de que se publicara la corrección, a medida que se hacía público el código de explotación de prueba de concepto.
Los ataques con Redigo comienzan con escaneos del puerto 6379 para encontrar instancias de Redis expuestas, a los que sigue la ejecución de varios comandos como el comando INFO, que permite a los adversarios recibir información sobre nuestro servidor Redis, y el comando SLAVEOF, que permite a los actores de la amenaza crear una réplica del servidor atacante y posteriormente ayudarles a descargar el objeto compartido, lo que permite explotar la vulnerabilidad.
También está el comando REPLCONF, que configura una conexión desde el maestro (el servidor atacante) a la réplica recién creada, y el comando PSYNC, que ejecuta la nueva réplica e inicia un flujo de replicación desde el maestro para mantener la réplica actualizada y permitir que el maestro envíe un flujo de comandos. El comando MODULE LOAD permite la carga en tiempo de ejecución de un módulo de la biblioteca dinámica descargada en la etapa 4. Por último, el comando SLAVEOF NO ONE desactiva la replicación y convierte el servidor Redis vulnerable en maestro.
Antes de la descarga y ejecución de Redigo, el backdoor recopila información sobre el hardware del host utilizando sus capacidades de ejecución de comandos. Aunque se desconocen los procesos de Redigo tras afianzarse en el entorno debido a los límites de duración de los ataques en los honeypots de Aquasec, los investigadores de Aquasec creen que el malware puede añadir servidores vulnerables como bot para ataques distribuidos de denegación de servicio y ataques de minería de criptomonedas.
Según los investigadores, los atacantes también podrían utilizar el malware para facilitar el robo de datos de Redis.
Las fuentes de esta pieza incluyen un artículo en Bleepingcomputer.
