Οι ερευνητές ασφαλείας του Rapid7 έχουν εντοπίσει 2.000 διακομιστές Linux που εκτίθενται στο Διαδίκτυο που φαίνεται να επηρεάζονται από μια ευπάθεια Redis που έχει γίνει αντικείμενο εκμετάλλευσης σε επιθέσεις.
Παρακολουθείται ως CVE-2022-0543, η τρύπα ασφαλείας έχει βαθμολογία CVSS 10 και περιγράφεται ως ανεπαρκής απολύμανση στη Λούα. Ενώ το Redis συνδέει στατικά τη βιβλιοθήκη Lua, ορισμένα πακέτα Debian/Ubuntu τη συνδέουν δυναμικά, οδηγώντας σε μια διαφυγή sandbox που μπορεί να αξιοποιηθεί για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα.
Τόσο το Debian όσο και το Ubuntu ανακοίνωσαν ενημερώσεις κώδικα για το σφάλμα στις 18 Φεβρουαρίου. Στις 8 Μαρτίου, ωστόσο, ο Βραζιλιάνος ερευνητής ασφάλειας Reginaldo Silva, ο οποίος πιστώθηκε για την εύρεση του ζητήματος, κυκλοφόρησε κώδικα απόδειξης ιδέας που το στόχευε.
Η εκ των υστέρων εκμετάλλευση αυτής της ευπάθειας ξεκίνησε μέρες αργότερα και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) πρόσθεσε το ελάττωμα στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπάθειων στα τέλη Μαρτίου.
Τώρα, το Rapid7 λέει ότι μια μονάδα Metasploit έγινε διαθέσιμη στις 26 Απριλίου και προειδοποιεί ότι «οι εισβολείς θα συνεχίσουν να εκμεταλλεύονται ευκαιριακά αυτήν την ευπάθεια όσο υπάρχουν στόχοι που αντιμετωπίζουν το Διαδίκτυο προς εκμετάλλευση».
Σύμφωνα με το Rapid7, υπάρχουν περίπου 2.000 δυνητικά εκμεταλλεύσιμοι στόχοι εκεί έξω, συγκεκριμένα οι περιπτώσεις Ubuntu/Debian που έχουν ρυθμίσει το Redis σε μια επικίνδυνη, μη προεπιλεγμένη κατάσταση και οι οποίες είναι εκτεθειμένες στο διαδίκτυο.
Ωστόσο, οι ερευνητές σημειώνουν επίσης ότι υπάρχουν περίπου 33.000 διακομιστές Redis που επιτρέπουν πρόσβαση χωρίς έλεγχο ταυτότητας από το Διαδίκτυο, μαζί με άλλους που είναι δημόσια προσβάσιμοι αλλά απαιτούν έλεγχο ταυτότητας.
«2.000 κεντρικοί υπολογιστές είναι το απόλυτο ανώτατο όριο των δυνητικά ευάλωτων διακομιστών Redis που αντιμετωπίζουν το Διαδίκτυο, οι οποίοι μπορούν να αξιοποιηθούν χωρίς έλεγχο ταυτότητας. Στην πραγματικότητα δεν είμαστε σίγουροι πόσοι από αυτούς τους κεντρικούς υπολογιστές εγκατέστησαν το Redis χρησιμοποιώντας ένα επηρεασμένο πακέτο ή εάν έχουν επιδιορθωθεί», σημειώνει το Rapid7.
Οι ερευνητές πιστεύουν ότι ορισμένοι από αυτούς τους διακομιστές μπορεί να είναι honeypot, αλλά επισημαίνουν ότι, συνολικά, ο αριθμός των στόχων που είναι ευάλωτοι στο CVE-2022-0543 φαίνεται υψηλότερος από ό,τι αρχικά αναμενόταν.
«Δεδομένου ότι ένα exploit έχει εκτοξευθεί στη φύση, είναι πιθανώς λογικό να προσκρούσετε στην προτεραιότητα της διόρθωσης αυτής της ευπάθειας στον οργανισμό σας», καταλήγει το Rapid7.
