CVE-2025-46817: Der SOC-Bericht zur Härtung der Lua-Engine gegen vier kritische Schwachstellen (Redis 8.2.2)

Analyse

Cyberkriminelle senden gefälschte E-Mail-Lieferbenachrichtigungen, die wie interne Spam-Filter-Warnungen aussehen. Die Nachrichten enthalten einen bösartigen „In den Posteingang verschieben“-Button und einen Abmeldelink, die durch eine kompromittierte Domain auf eine Phishing-Seite umleiten. Die Seite verwendet stark verschleierten Code und einen WebSocket-Kanal, um Anmeldedaten sofort zu ernten, einschließlich möglicher 2FA-Codes.

Untersuchung

Forscher beobachteten, dass die Phishing-E-Mails eine base64‑codierte E-Mail-Adresse in der Weiterleitungs-URL einbetten. Sowohl der Button als auch der Abmeldelink leiten zu cbs weiter, das dann zur endgültigen Phishing-Host weiterleitet. Die bösartige Seite bietet ein gefälschtes Anmeldeformular an, das mit der Domain des Opfers vorausgefüllt ist und Anmeldedaten über eine persistente WebSocket-Verbindung erfasst, was eine Echtzeit-Exfiltration ermöglicht und zusätzliche Daten wie 2FA-Codes anfordert. Indikatoren für Kompromittierungen sind mehrere Subdomains von http://mdbgo.io und nicht verwandte Domains wie xxx-three-theta.vercel.app, client1.inftrimool.xyz, http://psee.io, veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev, lotusbridge.ru.com und shain-log4rtf.surge.sh.

Minderung

Überprüfen Sie Absenderadressen und untersuchen Sie URLs, bevor Sie klicken. Verwenden Sie Multi-Faktor-Authentifizierung auf allen Konten. Setzen Sie aktuelle Sicherheitssoftware mit Webschutz ein, wie Malwarebytes Browser Guard, um bösartige Umleitungen zu blockieren. Verwenden Sie Passwort-Manager, die keine Anmeldedaten auf unbekannten Seiten automatisch ausfüllen. Schulen Sie Benutzer, um unaufgeforderte Anhänge zu vermeiden und unerwartete Anfragen über einen alternativen Kanal zu bestätigen. Aktualisieren Sie regelmäßig Betriebssysteme und Anwendungen.

Reaktion

Blockieren Sie die aufgeführten bösartigen Domains und Subdomains am Netzwerkperimeter und auf DNS-Ebene. Setzen Sie Webfilterlösungen ein, um Umleitungen zu bekannten Phishing-Hosts zu erkennen und zu blockieren. Führen Sie Kampagnen zum Zurücksetzen der Anmeldedaten für alle Konten durch, die möglicherweise kompromittiert wurden. Überwachen Sie WebSocket-Verkehr auf ungewöhnliche ausgehende Verbindungen. Führen Sie Schulungen zur Benutzerbewusstseinsbildung durch, die sich auf gefälschte E-Mail-Warnungen und Phishing-Techniken konzentrieren.

Simulationsanweisungen

• Angriffsnarrativ & Befehle:
  Ein Angreifer mit Netzwerkzugriff auf die Redis-Instanz erstellt eine bösartige Lua-Payload, die luaX_setinput mit einem übergroßen String aufruft, was zu einem Integer-Überlauf in der Lua-Engine führt. Die Payload wird über redis-cli --eval zum Zielschlüssel exploit ausgeführt. Die Ausführung dieser Payload zwingt Redis dazu, das Lua-Skript zu laden, die anfällige Funktion aufzurufen und entweder abzustürzen oder beliebigen Code auszuführen, was genau das ist, was die Erkennungsregel beobachtet.

• Regressionstest-Skript:

  #!/usr/bin/env bash
  # -------------------------------------------------
  # Exploit-Simulation: Auslösung von luaX_setinput Überlauf
  # -------------------------------------------------
  set -euo pipefail
  
  REDIS_CLI="redis-cli"
  EXPLOIT_KEY="exploit"
  # Konstruiere einen übergroßen Eingabestring (> 2^31 bytes) – hier verwenden wir eine Wiederholung, um die Größe zu simulieren