سرورهای Redis هدف درب‌پشتی Redigo

شرکت اکئوآ سکیوریتی (Aqua Security) از شناسایی یک بدافزار جدید مبتنی بر Go خبر داده که سرورهای Redis آسیب‌پذیر به CVE-2022-0543 را هدف قرار می‌دهد. این بدافزار که در گزارش اکئوآ سکیوریتی از آن با عنوان Redigo یاد شده، اقدام به تزریق یک درب‌پشتی (Backdoor) مخفی بر روی سرورهای آسیب‌پذیر می‌کند.

CVE-2022-0543 یک ضعف امنیتی “حیاتی” (Critical) و با شدت 10 – بر طبق استاندارد CVSS – است که نرم‌افزار Redis از آن متأثر می‌شود.

این آسیب‌پذیری در اواخر سال 1400 شناسایی و ترمیم شد. در اسفند 1400، نمونه اثبات‌گر (PoC) ضعف CVE-2022-0543 به‌صورت عمومی افشا شد.

در اوایل امسال نیز مرکز CISA نسبت به بهره‌جویی ضعف امنیتی مذکور هشدار داد.

نام Redigo برگرفته از ترکیب Redis (سرورهایی که هدف قرار می‌دهد) و Go (زبان برنامه‌نویسی آن) است.

به گفته اکئوآ سکیوریتی حملات Redigo با اسکن درگاه 6379 برای شناسایی سرورهای Redis قابل دسترس بر روی وب آغاز می‌شود.

مهاجمان، با کشف هر سرور، فرامینی را برای بررسی نسخه Redis و تزریق درب‌پشتی (در صورت آسیب‌پذیری آن به CVE-2022-0543) اجرا می‌کنند.

این مهاجمان با بهره‌گیری از درب‌پشتی تزریق‌شده، اقدام به استخراج اطلاعاتی در خصوص سخت‌افزار سرور و در ادامه دانلود Redigo (فایل redis-1.2-SNAPSHOT) می‌کنند. بدافزار مذکور، پس از ترفیع سطح دسترسی (Escalating Privilege)، اجرا می‌شود.

ارتباطات مهاجمان با سرورهای آسیب‌پذیر نیز از طریق درگاه 6379 است. با توجه به معمول بودن استفاده از این درگاه بر روی سرورهای Redis، عملاً می‌توان آن را تکنیکی برای مخفی‌سازی ارتباطات C&C از چشم ابزارهای رصد شبکه تلقی کرد.

مشروح گزارش اکئوآ سکیوریتی در لینک زیر قابل مطالعه است:

https://blog.aquasec.com/redigo-redis-backdoor-malware

مقابله

نکته قابل توجه این که بر اساس نشانه‌های آلودگی (IoC) منتشرشده از سوی اکئوآ سکیوریتی، در زمان انتشار این مطلب تعداد بسیار اندکی از محصولات ضدویروس قادر به شناسایی Redigo هستند.

مؤثرترین راهکار در مقابله با این تهدیدات ارتقای نسخ آسیب‌پذیر CVE-2022-0543 است. توصیه‌نامه‌های Debian و Ubuntu در خصوص CVE-2022-0543 در لینک‌های زیر قابل دریافت است:

https://www.debian.org/security/2022/dsa-5081

https://ubuntu.com/security/CVE-2022-0543