Juniper Threat Labs обнаружила атаку, направленную на серверы Redis с использованием недавно раскрытой уязвимости CVE-2022-0543. Эта уязвимость существует в некоторых пакетах Redis Debian. Атака началась 11 марта 2022 года от того же агента угроз, который был замечен в атаках на серверы confluence в сентябре 2021 года и той же группой, которая атаковала Log4j в декабре. В качестве полезной нагрузки используется вариант бота Muhstik, который может быть использован для проведения DDOS-атак.
Muhstik эксплуатирует следующие уязвимости:
- CVE-2022-0543 (оценка CVSS 8.1 балла) - Выполнение произвольного кода в Redis package for Debian Linux
- CVE-2017-10271 (оценка CVSS 7,5 балла) – уязвимость проверки вводимых данных в компоненте Oracle WebLogic Server пакета программ Oracle Fusion Middleware;
- CVE-2018-7600 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Drupal;
- CVE-2019-2725 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Oracle WebLogic Server;
- CVE-2021-26084 (оценка CVSS 9,8 балла) – уязвимость инъекции OGNL (Object-Graph Navigation Language) в Atlassian Confluence;
- CVE-2021-44228 (оценка CVSS 10,0 балла) – уязвимость удаленного выполнения кода в Apache Log4j (Log4Shell).
Indicators of Compromise
IPv4
- 106.246.224.219
- 160.16.58.163
SHA256
- 4817893f8e724cbc5186e17f46d316223b7683dcbc9643e364b5913f8d2a9197
- 46389c117c5f41b60e10f965b3674b3b77189b504b0aeb5c2da67adf55a7129f
- 95d1fca8bea30d9629fdf05e6ba0fc6195eb0a86f99ea021b17cb8823db9d78b
- 7d3855bb09f2f6111d6c71e06e1e6b06dd47b1dade49af0235b220966c2f5be3
- 16b4093813e2923e9ee70b888f0d50f972ac607253b00f25e4be44993d263bd2
- 28443c0a9bfd8a12c12a2aad3cc97d2e8998a9d8825fcf3643d46012f18713f0
- 36a2ac597030f3f3425153f5933adc3ca62259c35f687fde5587b8f5466d7d54
Attacker IP
- 104.236.150.159
- 170.210.45.163
- 146.185.136.187
- 178.62.69.4
- 191.232.38.25
- 79.172.212.132
- 221.120.103.253