CVE-2025-46817: 네 가지 심각한 취약점에 대비한 Lua 엔진 강화에 대한 SOC 보고서 (Redis 8.2.2)

분석

사이버 범죄자들은 내부 스팸 필터 경고처럼 보이는 위조된 이메일 전달 알림을 보내고 있습니다. 메시지에는 악성 “받은 편지함으로 이동” 버튼과 피싱 사이트로 리디렉션되는 구독 취소 링크가 포함되어 있습니다. 사이트는 심하게 난독화된 코드와 WebSocket 채널을 사용하여 자격 증명을 즉시 수집하며, 잠재적인 2FA 코드도 포함됩니다.

조사

연구원들은 피싱 이메일이 리디렉션 URL에 base64로 인코딩된 이메일 주소를 임베드하고 있음을 관찰했습니다. 버튼과 구독 취소 링크 모두 cbs로 전달되며, 최종 피싱 호스트로 전달됩니다. 악성 페이지는 피해자의 도메인으로 미리 채워진 가짜 로그인 폼을 제공하고, 지속적인 WebSocket 연결을 통해 자격 증명을 캡처하여 실시간으로 정보 유출을 허용하고 추가 데이터(예: 2FA 코드)를 요청합니다. 침해 지표로는 http://mdbgo.io의 여러 하위 도메인과 xxx-three-theta.vercel.app, client1.inftrimool.xyz, http://psee.io, veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev, lotusbridge.ru.com, shain-log4rtf.surge.sh와 같은 무관한 도메인도 포함됩니다.

완화

보낸 사람 주소를 확인하고 클릭하기 전에 URL을 점검하십시오. 모든 계정에서 다중 인증을 사용하십시오. 악성 리디렉션을 차단하기 위해 Malwarebytes Browser Guard와 같은 최신 보안 소프트웨어를 배포하십시오. 알 수 없는 사이트에 자격 증명을 자동으로 입력하지 않는 암호 관리자를 사용하십시오. 사용자가 원치 않는 첨부 파일을 피하고 대체 채널을 통해 예상치 못한 요청을 확인하도록 교육하십시오. 운영 체제와 애플리케이션을 정기적으로 업데이트하십시오.

대응

나열된 악성 도메인 및 하위 도메인을 네트워크 주변 및 DNS 수준에서 차단하십시오. 알려진 피싱 호스트로의 리디렉션을 탐지하고 차단할 웹 필터링 솔루션을 배포하십시오. 침해되었을 수 있는 계정에 대해 자격 증명 초기화 캠페인을 실시하십시오. 이상한 아웃바운드 연결에 대해 WebSocket 트래픽을 모니터링하십시오. 위조된 이메일 알림 및 피싱 기술에 관한 사용자 인식 교육을 수행하십시오.

시뮬레이션 지침

• 공격 서사 및 명령:
  Redis 인스턴스에 네트워크 액세스 권한이 있는 공격자가 luaX_setinput에 초과 크기의 문자열을 전달하여 Lua 엔진 내부에서 정수 오버플로를 야기하는 악성 Lua 페이로드를 제작합니다. 페이로드는 redis-cli --eval 를 통해 대상 키 exploit에 전달됩니다. 이 페이로드의 실행은 Redis가 Lua 스크립트를 로드하고 취약한 함수를 호출하여 시스템을 충돌시키거나 임의의 코드를 실행하게 하며, 이는 탐지 규칙이 주시하는 상황입니다.

• 회귀 테스트 스크립트:

  #!/usr/bin/env bash
  # -------------------------------------------------
  # Exploit simulation: trigger luaX_setinput overflow
  # -------------------------------------------------
  set -euo pipefail
  
  REDIS_CLI="redis-cli"
  EXPLOIT_KEY="exploit"
  # Construct an oversized input string (> 2^31 bytes) – here we use a repeat to simulate size