Muhstik, ein Botnetz, das dafür berüchtigt ist, sich über Exploits für Webanwendungen zu verbreiten, wurde dabei beobachtet, wie es Redis-Server angriff, indem es eine kürzlich bekannt gewordene Schwachstelle im Datenbanksystem ausnutzte.
Die Schwachstelle bezieht sich auf CVE-2022-0543, einen Lua-Sandbox-Escape-Fehler in dem Open-Source-Schlüsselwertdatenspeicher, der dazu missbraucht werden kann, Remotecode auf dem zugrunde liegenden Rechner auszuführen. Der Schweregrad der Sicherheitslücke wird mit 10 von 10 bewertet.
„Aufgrund eines Paketierungsproblems kann ein Angreifer, der in der Lage ist, beliebige Lua-Skripte auszuführen, möglicherweise aus der Lua-Sandbox ausbrechen und beliebigen Code auf dem Rechner ausführen“, so Ubuntu in einem letzten Monat veröffentlichten Advisory.
Nach den von Juniper Threat Labs gesammelten Telemetriedaten sollen die Angriffe, die die neue Schwachstelle ausnutzen, am 11. März 2022 begonnen haben. Dabei wird ein bösartiges Shell-Skript („russia.sh“) von einem entfernten Server abgerufen, das dann dazu verwendet wird, die Botnet-Binaries von einem anderen Server zu holen und auszuführen.
Muhstik wurde erstmals von der chinesischen Sicherheitsfirma Netlab 360 dokumentiert und ist bekanntermaßen seit März 2018 aktiv, um Münzen zu schürfen und DDoS-Angriffe (Distributed Denial of Service) durchzuführen.
Muhstik ist in der Lage, sich selbst auf Linux- und IoT-Geräten wie GPON-Heimroutern, DD-WRT-Routern und Tomato-Routern auszubreiten und hat im Laufe der Jahre eine Reihe von Schwachstellen ausgenutzt.
CVE-2017-10271 (CVSS-Score: 7.5) – Eine Schwachstelle bei der Eingabevalidierung in der Oracle WebLogic Server-Komponente von Oracle Fusion Middleware
CVE-2017-10271 (CVSS-Score: 7.5) – Eine Schwachstelle bei der Eingabevalidierung in der Oracle WebLogic Server-Komponente von Oracle Fusion Middleware CVE-2018-7600 (CVSS-Score: 9.8) – Schwachstelle bei der Remotecodeausführung in Drupal
(CVSS-Score: 9.8) – Drupal-Schwachstelle für Remotecodeausführung CVE-2019-2725 (CVSS-Score: 9.8) – Oracle WebLogic Server-Schwachstelle für Remotecodeausführung
(CVSS-Score: 9.8) – Oracle WebLogic Server Sicherheitslücke für die entfernte Codeausführung CVE-2021-26084 (CVSS-Score: 9.8) – OGNL (Object-Graph Navigation Language) Injection-Fehler in Atlassian Confluence, und
CVE-2021-26084 (CVSS-Score: 9.8) – Eine OGNL (Object-Graph Navigation Language)-Injection-Schwachstelle in Atlassian Confluence und CVE-2021-44228 (CVSS-Score: 10.0) – Apache Log4j-Schwachstelle für Remotecodeausführung (auch bekannt als Log4Shell)
„Dieser Bot verbindet sich mit einem IRC-Server, um Befehle zu empfangen, die Folgendes beinhalten: Herunterladen von Dateien, Shell-Befehle, Flood-Attacken und SSH Brute Force“, so die Forscher der Juniper Threat Labs in einem Bericht, der letzte Woche veröffentlicht wurde.
Angesichts der aktiven Ausnutzung der kritischen Sicherheitslücke wird den Nutzern dringend empfohlen, ihre Redis-Dienste schnellstmöglich auf die neueste Version zu patchen.