Muhstik僵尸网络利用最近披露的漏洞攻击 Redis 服务器

Muhstik 是一个臭名昭著的僵尸网络，因通过 Web 应用程序漏洞传播而臭名昭著，已观察到使用数据库系统中最近披露的漏洞针对 Redis 服务器。

该漏洞与CVE-2022-0543 相关，这是开源、内存中键值数据存储中的Lua 沙盒逃逸漏洞，可被滥用以在底层机器上实现远程代码执行。该漏洞的严重程度为 10 分（满分 10 分）。

“由于打包问题，能够执行任意 Lua 脚本的远程攻击者可能会逃离 Lua 沙箱并在主机上执行任意代码，”Ubuntu 在上个月发布的公告中指出。

根据瞻博网络威胁实验室收集的遥测数据，据说利用新漏洞的攻击于 2022 年 3 月 11 日开始，导致从远程服务器检索恶意 shell 脚本（“russia.sh”），该服务器是然后用于从另一台服务器获取和执行僵尸网络二进制文件。

Muhstik最早由中国安全公司 Netlab 360 记录，自 2018 年 3 月以来一直活跃，并因进行硬币挖掘活动和发动分布式拒绝服务 (DDoS) 攻击而获利。

Muhstik 能够在 GPON 家庭路由器、DD-WRT 路由器和Tomato 路由器等 Linux 和 IoT 设备上进行自我传播，多年来已被发现武器化了许多缺陷——

• CVE-2017-10271（CVSS 评分：7.5）– Oracle 融合中间件的 Oracle WebLogic Server 组件中的输入验证漏洞
• CVE-2018-7600（CVSS 评分：9.8）——Drupal 远程代码执行漏洞
• CVE-2019-2725（CVSS 评分：9.8）– Oracle WebLogic Server 远程代码执行漏洞
• CVE-2021-26084（CVSS 分数：9.8）——Atlassian Confluence 中的 OGNL（对象图导航语言）注入漏洞，以及
• CVE-2021-44228（CVSS 分数：10.0）– Apache Log4j 远程代码执行漏洞（又名 Log4Shell）

瞻博网络威胁实验室的研究人员在上周发布的一份报告中说：“这个机器人连接到 IRC 服务器以接收包括以下命令的命令：下载文件、shell 命令、洪水攻击和 SSH 暴力破解。”

鉴于关键安全漏洞的积极利用，强烈建议用户迅速采取行动，将其 Redis 服务修补到最新版本。

文章来源：https://thehackernews.com/2022/03/muhstik-botnet-targeting-redis-servers.html