Une vulnérabilité Redis récemment découverte a été utilisée dans des attaques contre des serveurs. Selon l'avis officiel, Redis, une base de données clé-valeur persistante, suite à un problème d'emballage, est sujet à un problème spécifique à Debian, Évasion du bac à sable Lua. L'exploitation de la vulnérabilité pourrait entraîner l'exécution de code à distance.
L'attaque, basé sur la faille CVE-2022-0543, a été découvert par les chercheurs de Juniper Threat Labs qui signalent que le problème existe dans certains packages Redis Debian. Apparemment, l'attaque a été lancée par les mêmes acteurs menaçants qui ont ciblé les serveurs Confluence, ainsi que l'exploit Log4j.
La charge utile utilisée dans la dernière campagne malveillante détectée est une variante du bot connu Muhstik qui peut être utilisée pour lancer DDoS (Déni de service distribué) attaques.
CVE-2022-0543 utilisé dans les attaques pour déployer le botnet Muhstik
Selon Juniper Labs, le problème existait car la bibliothèque Lua de certains packages Debian/Ubuntu est fournie en tant que bibliothèque dynamique, avec Ubuntu Bionic et Trusty non affectés. Lorsque l'interpréteur Lua s'initialise, la variable "package" est automatiquement renseignée, et qui à son tour permet l'accès à des fonctionnalités Lua arbitraires, ils ont expliqué.
Il convient de noter que le botnet Muhstik a été observé en utilisant un certain nombre d'exploits, y compris CVE-2017-10271 et CVE-2019-2725 dans Oracle WebLogic Server, CVE-2018-7600 dans Drupal, CVE-2021-26084 dans Atlassian, et CVE-2021-44228 dans Apache, connu sous le nom de Log4j (Log4Shell) exploiter.
Google a récemment déclaré que plus que 35,000 Paquets Java ont été impactés par les vulnérabilités Log4j, "avec des retombées généralisées dans l'industrie du logiciel." Cela représentait plus de 8% du référentiel Maven Central, qui est considéré comme le référentiel de packages Java le plus important.