Zraniteľnosť služby Redis

V službe Redis pre distribúcie Linux rodiny Debian bola nájdená kritická zraniteľnosť s CVSSv3 skóre 10. Zraniteľnosť umožňuje vzdialene vykonávať kód a zneužíva ju botnet Muhstik.

Opis činnosti:

CVE-2022-0543 (CVSSv3: 10)

Redis je služba, ktorá pracuje priamo v operačnej pamäti, čo umožňuje rýchly prístup k často sa meniacim dátam. Je najčastejšie používaná na „caching“. Služba používa programovací jazyk Lua na skriptovanie, pomocou ktorého môžu klienti pracovať priamo s Redis API. Pritom by nemali byť schopní vykonávať kód na zariadení, na ktorom je Redis spustený.

Zraniteľnosť CVE-2022-0543 umožňuje únik z Lua sandbox-u, čo môže viesť ku vzdialenému vykonávaniu kódu. Týka sa systémov, ktoré sú založené na linuxovej distribúcií Debian, kde je problém pri dynamickom linkovaní Lua knižníc. Je vo veľkom využívaná botnetom Muhstik, ktorý je známy tým, že sa šíri cez zraniteľnosti webových aplikácií. Verzia služby mimo uvedených distribúcií neobsahuje túto zraniteľnosť.

Zraniteľné systémy:

  • redis/5:5.0.14-1+deb10u1
  • redis/5:5.0.3-4
  • redis/5:6.0.15-1

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu
  • Sandbox escape

Odporúčania:

Bezodkladná aktualizácia Redis služby aspoň na nasledovné verzie:

  • redis/5:6.0.16-1+deb11u2
  • redis/5:5.0.14-1+deb10u2
  • redis/5:6.0.16-2, redis/5:7.0~rc2-2

Odkazy:

https://thehackernews.com/2022/03/muhstik-botnet-targeting-redis-servers.html

https://security-tracker.debian.org/tracker/CVE-2022-0543

https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce