Support technique
Documentation
Connexion
Nous contacter
De nouveaux logiciels malveillants basés sur Go ciblent les serveurs Redis vulnérables
Le 12 décembre 2022 - L'équipe de relations publiques de TuxCare
Aqua Nautilus, une entreprise spécialisée dans la sécurité du cloud, a découvert un nouveau logiciel malveillant basé sur le langage Go qui cible Redis (serveur de dictionnaire distant), une base de données en mémoire et un cache open source.
L'attaque a été menée contre l'un de ses pots de miel Redis délibérément vulnérables, et la vulnérabilité a été identifiée comme étant CVE-2022-0543 (score CVSS : 10.0). Il s'agit d'un cas d'échappement de sandbox dans le moteur de script Lua qui pourrait être exploité pour obtenir l'exécution de code à distance.
Le malware, qui n'a pas encore été détecté par les moteurs antivirus de VirusTotal, a été écrit en Golang et était destiné à cibler les serveurs Redis afin que le serveur attaquant prenne le contrôle de la machine compromise.
Malgré le fait qu'elle ait été découverte et corrigée en février, les attaques impliquent le déploiement de Redigo tout en exploitant une vulnérabilité de sécurité critique dans le magasin de valeurs clés en mémoire open source, qui a été divulguée plus tôt cette année. Pendant ce temps, les attaquants ont continué à l'utiliser sur des machines non corrigées des mois après la publication du correctif, alors que le code d'exploitation de la preuve de concept est devenu public.
Les attaques avec Redigo commencent par des analyses du port 6379 pour trouver des instances Redis exposées, qui sont ensuite suivies de l'exécution de plusieurs commandes telles que la commande INFO, qui permet aux adversaires de recevoir des informations sur notre serveur Redis, et la commande SLAVEOF, qui permet aux acteurs de la menace de créer une réplique du serveur attaquant et de l'aider ensuite à télécharger l'objet partagé, ce qui permet d'exploiter la vulnérabilité.
Il y a également la commande REPLCONF, qui configure une connexion du maître (le serveur attaquant) à la réplique nouvellement créée, et la commande PSYNC, que la nouvelle réplique exécute et qui lance un flux de réplication à partir du maître pour maintenir la réplique à jour et permettre au maître d'envoyer un flux de commandes. La commande MODULE LOAD permet le chargement en cours d'exécution d'un module à partir de la bibliothèque dynamique téléchargée à l'étape 4. Enfin, la commande SLAVEOF NO ONE désactive la réplication et transforme le serveur Redis vulnérable en maître.
Avant le téléchargement et l'exécution de Redigo, le backdoor collecte des informations sur le matériel de l'hôte en utilisant ses capacités d'exécution de commandes. Bien que les processus de Redigo après avoir pris pied dans l'environnement soient inconnus en raison des limites de durée d'attaque dans les honeypots d'Aquasec, les chercheurs d'Aquasec pensent que les serveurs vulnérables peuvent être ajoutés par le malware comme bot pour des attaques par déni de service distribué et des attaques de minage de crypto-monnaies.
Selon les chercheurs, les attaquants pourraient également utiliser le malware pour faciliter le vol de données Redis.
Les sources de cet article comprennent un article de Bleepingcomputer.
