- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
И несмотря на наличие исправления, злоумышленники все равно активно пытаются использовать её против непропатченных систем. Кроме того, PoC-эксплойт доступен всем желающим.
Как сообщают исследователи из Aqua Security, атаки с использованием Redigo начинаются со сканирования портов 6379, используемых Redis. Обнаружив конечную точку, хакеры подключаются к ней и пытаются выполнить следующие команды:
- INFO – проверяет версию Redis, чтобы злоумышленники могли понять, уязвим ли сервер для CVE-2022-0543;
- SLAVEOF – создает копию сервера;
- REPLCONF – настраивает соединение с сервера злоумышленников к созданной копии;
- PSYNC – запускает поток репликации и загружает библиотеку exp_lin.so на диск сервера;
- MODULE LOAD – загружает модуль exp_lin.so из скачанной динамической библиотеки. Этот модуль способен выполнять произвольные команды и эксплуатировать CVE-2022-0543;
- SLAVEOF NO ONE – делает уязвимый сервер Redis мастер-сервером.
Так как время атаки на приманке ограничено, аналитики Aqua Security не смогли узнать, что делает Redigo после закрепления в системе. По мнению экспертов, злоумышленники пытаются подключить Redis-сервер к ботнету для проведения DDoS-атак, криптоджекинга или кражи данных.
