Muhstik, een botnet dat berucht is omdat het zich verspreidt via exploits van webapplicaties, is gesignaleerd door Redis-servers te targeten met behulp van een recent onthulde kwetsbaarheid in het databasesysteem.
De kwetsbaarheid heeft betrekking op: CVE-2022-0543een Lua sandbox ontsnappingsfout in de open-source, in-memory, key-value datastore die kan worden misbruikt om externe code-uitvoering op de onderliggende machine te realiseren. De kwetsbaarheid krijgt een 10 op 10 voor de ernst.
“Vanwege een verpakkingsprobleem zou een externe aanvaller met de mogelijkheid om willekeurige Lua-scripts uit te voeren mogelijk uit de Lua-sandbox ontsnappen en willekeurige code op de host uitvoeren”, merkte Ubuntu op in een advies dat vorige maand werd uitgebracht.
Volgens telemetriegegevens verzameld door Juniper Threat Labs, zouden de aanvallen die gebruikmaken van de nieuwe fout zijn begonnen op 11 maart 2022, wat leidde tot het ophalen van een kwaadaardig shellscript (“russia.sh”) van een externe server, dat vervolgens wordt gebruikt om en voer de botnet-binaire bestanden uit vanaf een andere server.
Eerst gedocumenteerd door het Chinese beveiligingsbedrijf Netlab 360, staat Muhstik bekend als actief sinds maart 2018 en wordt te gelde gemaakt voor het uitvoeren van muntmijnactiviteiten en het opzetten van gedistribueerde denial-of-service (DDoS)-aanvallen.
Kan zichzelf verspreiden op Linux- en IoT-apparaten zoals GPON-thuisrouter, DD-WRT-router en TomatenroutersMuhstik is in de loop der jaren gespot met een aantal gebreken –
- CVE-2017-10271 (CVSS-score: 7,5) – Een kwetsbaarheid voor invoervalidatie in de Oracle WebLogic Server-component van Oracle Fusion Middleware
- CVE-2018-7600 (CVSS score: 9,8) – Drupal kwetsbaarheid voor uitvoering van externe code
- CVE-2019-2725 (CVSS-score: 9,8) – kwetsbaarheid voor uitvoering van externe code in Oracle WebLogic Server
- CVE-2021-26084 (CVSS-score: 9,8) – Een OGNL-injectiefout (Object-Graph Navigation Language) in Atlassian Confluence, en
- CVE-2021-44228 (CVSS-score: 10.0) – Apache Log4j kwetsbaarheid voor uitvoering van externe code (ook bekend als Log4Shell)
“Deze bot maakt verbinding met een IRC-server om commando’s te ontvangen, waaronder het volgende: downloadbestanden, shell-commando’s, overstromingsaanvallen, [and] SSH brute kracht”, aldus Juniper Threat Labs-onderzoekers in een rapport dat vorige week werd gepubliceerd.
In het licht van de actieve exploitatie van de kritieke beveiligingsfout, wordt gebruikers ten zeerste aangeraden om snel over te gaan tot het patchen van hun Redis-services naar de nieuwste versie.
