Resumen:

Ha sido detectado un nuevo malware cuya explotación permitiría a los atacantes lanzar ataques DDoS.

 

Bautizado como Redigo, el malware está basado en el lenguaje de programación Go y tiene como objetivo los servidores Redis.

 

Redis, también conocido como Remote Dictionary Server, es un almacén de estructuras de datos en memoria de código abierto que los desarrolladores suelen utilizar como una base de datos, caché o como un corredor de mensajes con una durabilidad opcional.

 

La vulnerabilidad aprovechada por el malware, ha sido identificada como CVE-2022-0543 y se trata de una instancia de escape de sandbox en el motor de scripting Lua cuya explotación permite una ejecución remota de código.

 

Ahora bien, el problema fue encontrado y corregido a principios de febrero. No obstante, aun después de su corrección, los atacantes han hallado nuevas formas para desplegar herramientas maliciosas en las máquinas que aún son vulnerables.

 

De acuerdo con los investigadores, la cadena de infección del malware comienza con la búsqueda de servidores Redis expuestos en el puerto 6379.

 

Una vez que se obtiene el acceso inicial, los ciberdelincuentes descargan una biblioteca compartida llamada "exp lin.so" desde un servidor remoto.

 

Dicho archivo incluye un exploit que se encarga de ejecutar un comando que intenta recuperar Redigo del mismo servidor y despliega una serie de pasos para encubrir la actividad maliciosa simulando la comunicación legítima entre el clúster de Redis y el puerto 6379.

 

Estos pasos permiten a los adversarios ocultar las comunicaciones entre el host de las víctimas y el servidor C2.

Según los investigadores, es probable que el objetivo principal del malware sea emplear el servidor vulnerado como un bot dentro de una operación que realiza ataques de denegación de servicio distribuido, o también para ejecutar mineros criptográficos en los ordenadores infectados.

 

Además, al tratarse de una base de datos, los atacantes pueden explotar el host para robar datos o información confidencial.

 

En cualquiera de los escenarios, los ataques podrían traer consecuencias graves para los servidores comprometidos.

 

Dicho esto, se le insta a todos los usuarios a implementar medidas antimalware así como a instalar las correcciones para CVE-2022-0543 en caso de que no lo hayan hecho antes.

 

Recomendaciones: 

Medidas para prevenir la descarga de malware

Mantenga todos sus dispositivos actualizados y parcheados

Active la autenticación de dos factores

No descargue archivos sospechosos

No abra enlaces que provengan de fuentes desconocidas

Ejecute soluciones anti-malware

 

Referencias: 

https://heimdalsecurity.com/blog/a-new-malware-exploits-a-critical-vulnerability-on-redis-servers/

https://aws.amazon.com/es/redis/

https://blog.aquasec.com/redigo-redis-backdoor-malware

 

 

Folio 365