Muhstik, un botnet tristement célèbre pour se propager via des exploits d’applications Web, a été observé ciblant des serveurs Redis en utilisant une vulnérabilité récemment révélée dans le système de base de données.
La vulnérabilité concerne CVE-2022-0543, une faille d’échappement du bac à sable Lua dans le magasin de données open source, en mémoire et clé-valeur qui pourrait être exploitée pour obtenir l’exécution de code à distance sur la machine sous-jacente. La vulnérabilité est notée 10 sur 10 pour la gravité.
« En raison d’un problème d’empaquetage, un attaquant distant ayant la capacité d’exécuter des scripts Lua arbitraires pourrait éventuellement échapper au bac à sable Lua et exécuter du code arbitraire sur l’hôte », a noté Ubuntu dans un avis publié le mois dernier.
Selon les données de télémétrie recueillies par Juniper Threat Labs, les attaques exploitant la nouvelle faille auraient commencé le 11 mars 2022, entraînant la récupération d’un script shell malveillant (« russia.sh ») à partir d’un serveur distant, qui est ensuite utilisé pour récupérer et exécuter les fichiers binaires du botnet à partir d’un autre serveur.
Documenté pour la première fois par la société de sécurité chinoise Netlab 360, Muhstik est connu pour être actif depuis mars 2018 et est monétisé pour mener des activités d’extraction de pièces et organiser des attaques par déni de service distribué (DDoS).
Capable de se propager sur des appareils Linux et IoT tels que le routeur domestique GPON, le routeur DD-WRT et les routeurs Tomato, Muhstik a été repéré en train de militariser un certain nombre de failles au fil des ans –
CVE-2017-10271 (score CVSS : 7,5) – Une vulnérabilité de validation d’entrée dans le composant Oracle WebLogic Server d’Oracle Fusion Middleware
CVE-2018-7600 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Drupal
CVE-2019-2725 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Oracle WebLogic Server
CVE-2021-26084 (score CVSS : 9,8) – Une faille d’injection OGNL (Object-Graph Navigation Language) dans Atlassian Confluence, et
CVE-2021-44228 (score CVSS : 10,0) – Vulnérabilité d’exécution de code à distance Apache Log4j (alias Log4Shell)
« Ce bot se connecte à un serveur IRC pour recevoir les commandes suivantes : télécharger des fichiers, des commandes shell, des attaques par inondation, [et] la force brute SSH », ont déclaré les chercheurs de Juniper Threat Labs dans un rapport publié la semaine dernière.
À la lumière de l’exploitation active de la faille de sécurité critique, il est fortement recommandé aux utilisateurs d’agir rapidement pour mettre à jour leurs services Redis vers la dernière version.