Araştırmacıların Redigo olarak adlandırdığı yeni bir Go tabanlı kötü amaçlı yazılım tehdidi, gizli bir arka kapı dikmek ve komut yürütmeye izin vermek için CVE-2022-0543'e karşı savunmasız Redis sunucularını hedefliyor.
CVE-2022-0543, maksimum şiddet derecesine sahip REDIS (uzak Sözlük Sunucusu) yazılımında kritik bir güvenlik açığıdır. Şubat 2022'de keşfedildi ve düzeltildi.
Saldırganlar, kavram kanıtı istismar kodu herkese açık hale geldikçe, düzeltmenin ortaya çıkmasından birkaç ay sonra kapatılmamış makinelerden yararlanmaya devam ettiler.
Kötü amaçlı yazılımın adı Redigo, hedeflediği makineden ve onu inşa etmek için programlama dilinden üretildi.
Bugün, Aquasec, Redis Honeypot'un CVE-2022-0543'e karşı savunmasız olarak, virüs toplamı üzerindeki antivirüs motorları tarafından bir tehdit olarak tespit edilmeyen yeni bir kötü amaçlı yazılım parçası yakaladığını bildirdi.
Aquasec, Redigo saldırılarının açık web'de maruz kalan redis sunucularını bulmak için 6379 numaralı bağlantı noktalarındaki taramalarla başladığını söylüyor. Bir hedef bitiş noktasını bulduktan sonra, ATACKER aşağıdaki komutları bağlar ve çalıştırır:
İmplante edilen arka kapının komut yürütme yeteneklerini kullanarak, saldırganlar ana bilgisayar hakkında donanım bilgileri toplar ve ardından Redigo'yu (Redis-1.2-Snapshot) indirir. Kötü amaçlı yazılım, artan ayrıcalıklardan sonra yürütülür.
Saldırganlar, Redigo'nun komut ve kontrol sunucusundan kaçakçılığı gizlemeye çalışırken, ağ analiz araçlarıyla algılamadan kaçınmak için 6379 bağlantı noktası üzerinden normal redis iletişimini simüle ediyor.
Aquasec'in Honeypot'larındaki saldırı süresi sınırlamaları nedeniyle, analistleri Redigo'nun ortamda dayanağını oluşturduktan sonra ne yaptığını tam olarak belirleyemedi.
Aquasec, Redigo'nun nihai hedefinin, savunmasız sunucuyu dağıtılmış hizmet reddi (DDOS) saldırıları için bir ağda bir bot olarak eklemenin veya tehlikeye atılan sistemlerde kripto para madencileri çalıştırmanın muhtemel olduğunu söylüyor.
Ayrıca, Redis bir veritabanı olduğundan, çalmak için verilere erişmek, Redigo saldırılarında da makul bir senaryo olacaktır.
Redis kusurunu hafifletme hakkında daha fazla bilgi için, CVE-2022-0543'teki Debian Güvenlik Danışmanlığı veya Ubuntu'nun güvenlik bültenine göz atın.
Google Play'de 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Hyundai App hataları, bilgisayar korsanlarının uzaktan kilidini açmasına izin verdi, arabaları başlat
Yeni Crywiper veri silecek, Belediye Başkanının Ofisleri Rus mahkemelerini hedefliyor
Samsung, LG, MediaTek Sertifikaları Android kötü amaçlı yazılımları imzalamaktan ödün verdi
Yeni Windows kötü amaçlı yazılım, kurbanların cep telefonlarından verileri de çalıyor
Kaynak: Bleeping Computer