Botnet Muhstik cilja na Redis strežnike
Botnet Muhstik znan po širjenju z izkoriščanjem ranljivosti v spletnih aplikacijah cilja tudi na Redis strežnike, in sicer z uporabo nedavno razkrite ranljivosti v sistemu baze podatkov.
Kritična ranljivost se nanaša na CVE-2022-0543 – Lua napaka za beg iz peskovnika (‘Lua sandbox escape flaw’) v odprti kodi, v pomnilniku, shrambi podatkov ključ – vrednost, ki bi jo lahko zlorabili za doseganje oddaljenega izvajanja kode na strežniku. Ranljivost je zaradi resnosti ocenjena z 10 od 10.
»Zaradi težave s pakiranjem, bi lahko oddaljeni napadalec z zmožnostjo izvajanja poljubnih skript Lua pobegnil iz peskovnika Lua in izvedel poljubno kodo na gostitelju,« je opozoril Ubuntu v nasvetu, objavljenem prejšnji mesec.
Po telemetričnih podatkih, ki jih je zbral Juniper Threat Labs, naj bi se napadi, ki izkoriščajo novo ranljivost, začeli 11. marca 2022, kar je privedlo do pridobivanja zlonamerne skripte (»russia.sh«) z oddaljenega strežnika, ki se nato uporablja za pridobivanje in izvajanje binarnih datotek botneta z drugega strežnika.
Botnet Muhstik aktiven že več let
Botnet Muhstik je prvič opazilo kitajsko varnostno podjetje Netlab 360. Znano je, da je aktiven od marca 2018. Namenjen je izvajanju dejavnosti rudarjenja kriptovalut ter izvajanju porazdeljenih napadov zavrnitve storitve (DDoS).
Botnet Muhstik se je sposoben samostojno razširiti na napravah Linux in IoT, kot so domači usmerjevalnik GPON, usmerjevalnik DD-WRT in Tomato. Muhstik je bil v preteklih letih opažen kot orožje številnih ranljivosti:
- CVE-2017-10271 (ocena CVSS: 7,5) – ranljivost pri preverjanju vnosa v komponenti strežnika Oracle WebLogic Server vmesne programske opreme Oracle Fusion,
- CVE-2018-7600 (ocena CVSS: 9,8) – ranljivost pri izvajanju kode na daljavo Drupal,
- CVE-2019-2725 (ocena CVSS: 9,8) – ranljivost pri izvajanju kode na daljavo Oracle WebLogic Server,
- CVE-2021-26084 (ocena CVSS: 9,8) – napaka pri injiciranju OGNL (Object-Graph Navigation Language) v Atlassian Confluence ter
- CVE-2021-44228 (ocena CVSS: 10,0) – ranljivost pri izvajanju oddaljene kode Apache Log4j (znan kot Log4Shell),
»Botnet se poveže s strežnikom IRC za prejemanje ukazov, ki vključujejo naslednje: prenos datotek, ukaze lupine, napade s poplavo ter t. i. surov napad na SSH,« so v poročilu, objavljenem prejšnji teden, zapisali raziskovalci Juniper Threat Labs.
Glede na aktivno izkoriščanje kritične varnostne ranljivosti vsem uporabnikom zelo priporočam, da čim prej namestite najnovejše varnostne popravke na Redis strežnik.
Kako se obraniti?
Na računalnikih in strežniški infrastrukturi v vašem podjetju priporočam, da uporabite sisteme UEBA in EDR ter natančno spremljate vse dogodke v centralnem sistemu SIEM. S tem boste hitro zaznali nenavadne dogodke v vaši informacijski infrastrukturi.
Nadalje okrepite kibernetsko varnost z uporabo sistemov za napredno detekcijo prometa, anomalij in groženj z vgrajenimi mehanizmi umetne inteligence in strojnim učenjem, ki avtomatizirata zamudne varnostne operativne naloge in odpravljata slepe točke v omrežju. Poleg tega redno posodabljane vaše operacijske sisteme z najnovejšimi popravki.
Zelo pomembno je tudi osveščanje uporabnikov o delu z elektronsko pošto in redno izvajanje varnostnih pregledov, da se izognete morebitnim težavam zaradi varnostnih pomanjkljivosti.
Če ne veste, kje začeti, smo Smart Com varnostni strokovnjaki vedno pripravljeni priskočiti na pomoč z nasvetom ali odgovori na vaša specifična vprašanja oz. izzive, s katerimi se soočate.
Članek je povzet po https://thehackernews.com/.
Prispevek je pripravil Janez Peršin.