Muhstik僵尸网络使用最近披露的漏洞攻击Redis服务器

Muhstik是一个因利用web应用程序漏洞传播而臭名昭著的僵尸网络，据观察，它利用最近披露的数据库系统中的漏洞攻击Redis服务器。

该漏洞与CVE-2022-0543有关，CVE-2022-0543是开放源代码内存键值数据存储中的Lua沙盒逃逸漏洞，可被滥用以在底层计算机上实现远程代码执行。该漏洞的严重性为10分之10。

Ubuntu在上个月发布的一条建议中指出：“由于包装问题，能够执行任意Lua脚本的远程攻击者可能会逃离Lua沙盒，在主机上执行任意代码”。

根据Juniper Threat Labs收集的遥测数据，利用新漏洞的攻击据说始于2022年3月11日，导致从远程服务器检索恶意外壳脚本（“rus.sh”），然后利用该脚本从另一台服务器获取并执行僵尸网络二进制文件。

Muhstik最早由中国安全公司Netlab 360记录，自2018年3月以来一直活跃，并因进行硬币挖掘活动和发起分布式拒绝服务（DDoS）攻击而被货币化。

Capable of self-propagating on Linux and IoT devices like GPON home router, DD-WRT router, and Tomato routers, Muhstik has been spotted weaponizing a number of flaws over the years –

• CVE-2017-10271（CVSS得分：7.5）和#8211；Oracle Fusion中间件的Oracle WebLogic Server组件中存在输入验证漏洞
• CVE-2018-7600（CVSS得分：9.8）和#8211；Drupal远程代码执行漏洞
• CVE-2019-2725（CVSS得分：9.8）和#8211；Oracle WebLogic Server远程代码执行漏洞
• CVE-2021-26084（CVSS得分：9.8）和#8211；Atlassian Confluence中存在OGNL（对象图导航语言）注入缺陷，以及
• CVE-2021-44228（CVSS得分：10.0）和#8211；Apache Log4j远程代码执行漏洞（又名Log4Shell）

Juniper Threat Labs的研究人员在上周发布的一份报告中说：“这个机器人连接到IRC服务器，接收包括以下内容的命令：下载文件、shell命令、洪水攻击和SSH暴力”。

鉴于该关键安全漏洞被积极利用，强烈建议用户迅速将其Redis服务修补到最新版本。