CVE-2025-46817: O Relatório do SOC sobre o Fortalecimento do Motor Lua Contra Quatro Vulnerabilidades Críticas (Redis 8.2.2)

Análise

Cibercriminosos estão enviando notificações de entregas de e-mails falsificadas que parecem alertas internos de filtro de spam. As mensagens contêm um botão “Mover para a Caixa de Entrada” malicioso e um link de cancelamento de inscrição que redirecionam através de um domínio comprometido para um site de phishing. O site usa código fortemente ofuscado e um canal WebSocket para coletar credenciais instantaneamente, incluindo possíveis códigos de 2FA.

Investigação

Pesquisadores observaram que os e-mails de phishing incorporam um endereço de e-mail codificado em base64 na URL de redirecionamento. Tanto o botão quanto o link de cancelamento encaminham para cbs, que então encaminha para o host de phishing final. A página maliciosa oferece um formulário de login falso preenchido com o domínio da vítima e captura credenciais por meio de uma conexão WebSocket persistente, permitindo exfiltração em tempo real e solicitando dados adicionais, como códigos de 2FA. Indicadores de comprometimento incluem múltiplos subdomínios de http://mdbgo.io e domínios não relacionados, como xxx-three-theta.vercel.app, client1.inftrimool.xyz, http://psee.io, veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev, lotusbridge.ru.com e shain-log4rtf.surge.sh.

Mitigação

Verifique os endereços dos remetentes e inspecione as URLs antes de clicar. Use autenticação multifatorial em todas as contas. Implemente software de segurança atualizado com proteção web, como o Malwarebytes Browser Guard, para bloquear redirecionamentos maliciosos. Utilize gerenciadores de senha que não preencham automaticamente credenciais em sites desconhecidos. Eduque os usuários para evitar anexos não solicitados e confirmar solicitações inesperadas por meio de um canal alternativo. Atualize regularmente sistemas operacionais e aplicativos.

Resposta

Bloqueie os domínios e subdomínios maliciosos listados no perímetro da rede e no nível DNS. Implemente soluções de filtragem web para detectar e bloquear redirecionamentos para hosts de phishing conhecidos. Conduza campanhas de redefinição de credenciais para quaisquer contas que possam ter sido comprometidas. Monitore o tráfego WebSocket para conexões de saída incomuns. Realize treinamentos de conscientização para usuários, focados em alertas de e-mails falsificados e técnicas de phishing.

Instruções de Simulação

• Narrativa do Ataque & Comandos:
  Um atacante com acesso à rede à instância Redis cria uma carga Lua maliciosa que chama luaX_setinput com uma string superdimensionada, causando um estouro de inteiro dentro do motor Lua. A carga é entregue via redis-cli --eval para a chave alvo exploit. A execução desta carga força o Redis a carregar o script Lua, invocar a função vulnerável e travar ou executar código arbitrário, que é exatamente o que a regra de detecção monitora.

• Script de Teste de Regressão:

  #!/usr/bin/env bash
  # -------------------------------------------------
  # Simulação de exploração: acionar estouro de luaX_setinput
  # -------------------------------------------------
  set -euo pipefail
  
  REDIS_CLI="redis-cli"
  EXPLOIT_KEY="exploit"
  # Construir uma string de entrada superdimensionada (> 2^31 bytes) – aqui usamos um repeat para simular o tamanho