MuhstikはRedisから

みなさんの環境ではRedisを使っていますか？
Redisは使いどころがぴったりくると便利です。
でもどんなツールにもバグの可能性はあります。

2022年の1月と2月に案内されてすでに修正版が提供されている脆弱性があります。
CVE-2022-0543です。
悪用した場合、任意のLuaスクリプトを実行できるリモートの攻撃者が、Luaサンドボックスをエスケープして、ホスト上で任意のコードを実行する可能性があります。
この脆弱性はCVSS V3 BaseScoreが10.0です。
Maxです。

これを悪用する活動が観測されています。
この任意のコード実行で実施されてしまうのは、マルウェアのダウンロードと実行を行うスクリプトです。
ダウンロードされるマルウェアはMuhstikです。
こんな機能があります。

• ファイルダウンロード機能
  他のマルウェアを持ってくるなどができます。
• コマンド実行機能
  コマンド実行できますので調査のための活動もできるでしょうし、もってきたマルウェアを実行することもできます。
• SSHブルートフォース攻撃機能
  感染先のネットワークに対してSSHブルートフォース攻撃ができます。
• UDPフラッド機能
  UDPパケットによるDDoSを実施する機能です。

今回悪用されたことが確認されたのは、特定環境向けの脆弱性でした。
Log4jなどのように大きく話題になった脆弱性だけに対して話題になった後に対応するというような方針ではこういった問題には対応できそうにありません。

人の誤操作を誘発させてやってくるタイプの問題は注意によって脅威の対象となる可能性を軽減することができる場合もありますが（それも最近は厳しいですが）、脆弱性でやってくるタイプの問題は条件を満たした環境が狙われたら必ず悪用されてしまいます。
それぞれの環境において入手できるすべての脆弱性をタイムリーに対応させていくことが必要に思えます。

参考記事（外部リンク）：Muhstik Gang targets Redis Servers
blogs.juniper.net/en-us/security/muhstik-gang-targets-redis-servers