CVE-2025-46817: El Informe del SOC sobre el Fortalecimiento del Motor Lua Contra Cuatro Vulnerabilidades Críticas (Redis 8.2.2)

Análisis

Los ciberdelincuentes están enviando notificaciones de entrega de correo electrónico falsificadas que parecen alertas internas de filtro de spam. Los mensajes contienen un botón malicioso de «Mover a la bandeja de entrada» y un enlace de cancelación de suscripción que redirigen a través de un dominio comprometido a un sitio de phishing. El sitio utiliza código fuertemente ofuscado y un canal de WebSocket para capturar credenciales al instante, incluidos posibles códigos de 2FA.

Investigación

Los investigadores observaron que los correos electrónicos de phishing incrustan una dirección de correo electrónico codificada en base64 en la URL de redirección. Tanto el botón como el enlace de cancelación de suscripción redirigen a cbs, que luego redirige al host final de phishing. La página maliciosa sirve un formulario de inicio de sesión falso pre-rellenado con el dominio de la víctima y captura credenciales a través de una conexión WebSocket persistente, permitiendo la exfiltración en tiempo real y solicitando datos adicionales, como códigos de 2FA. Los indicadores de compromiso incluyen múltiples subdominios de http://mdbgo.io y dominios no relacionados como xxx-three-theta.vercel.app, client1.inftrimool.xyz, http://psee.io, veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev, lotusbridge.ru.com, y shain-log4rtf.surge.sh.

Mitigación

Verifique las direcciones de los remitentes e inspeccione las URL antes de hacer clic. Use autenticación multifactor en todas las cuentas. Despliegue software de seguridad actualizado con protección web, como Malwarebytes Browser Guard, para bloquear redirecciones maliciosas. Emplee administradores de contraseñas que no completen automáticamente las credenciales en sitios desconocidos. Eduque a los usuarios para evitar archivos adjuntos no solicitados y para confirmar solicitudes inesperadas a través de un canal alternativo. Actualice regularmente sistemas operativos y aplicaciones.

Respuesta

Bloquee los dominios y subdominios maliciosos listados en el perímetro de la red y a nivel de DNS. Despliegue soluciones de filtrado web para detectar y bloquear las redirecciones a hosts de phishing conocidos. Lleve a cabo campañas de restablecimiento de credenciales para cualquier cuenta que pueda haber sido comprometida. Monitoree el tráfico de WebSocket en busca de conexiones salientes inusuales. Realice capacitación de concienciación del usuario enfocada en alertas de correo electrónico falsificadas y técnicas de phishing.

Instrucciones de Simulación

• Narrativa y Comandos del Ataque:
  Un atacante con acceso a la red a la instancia de Redis crea una carga útil de Lua maliciosa que llama luaX_setinput con una cadena sobredimensionada, causando un desbordamiento de entero dentro del motor Lua. La carga útil se entrega a través de redis-cli --eval a la clave objetivo exploit. La ejecución de esta carga útil fuerza a Redis a cargar el script de Lua, invocar la función vulnerable y provocar un fallo o ejecutar código arbitrario, que es exactamente lo que la regla de detección busca.

• Script de Prueba de Regresión:

  #!/usr/bin/env bash
  # -------------------------------------------------
  # Simulación de explotación: desencadenar desbordamiento de luaX_setinput
  # -------------------------------------------------
  set -euo pipefail
  
  REDIS_CLI="redis-cli"
  EXPLOIT_KEY="exploit"
  # Construir una cadena de entrada sobredimensionada (> 2^31 bytes) – aquí usamos un repetido para simular el tamaño