CVE-2025-46817 : Le rapport du SOC sur le renforcement du moteur Lua contre quatre vulnérabilités critiques (Redis 8.2.2)

Analyse

Les cybercriminels envoient des notifications de livraison d’e-mails usurpées qui ressemblent à des alertes de filtre anti-spam internes. Les messages contiennent un bouton « Déplacer vers la boîte de réception » malveillant et un lien de désabonnement qui redirigent via un domaine compromis vers un site de phishing. Le site utilise un code fortement obfusqué et un canal WebSocket pour récolter instantanément les identifiants, y compris de possibles codes 2FA.

Enquête

Les chercheurs ont observé que les e-mails de phishing intègrent une adresse e-mail encodée en base64 dans l’URL de redirection. Le bouton et le lien de désabonnement redirigent vers cbs qui redirige ensuite vers l’hôte de phishing final. La page malveillante présente un faux formulaire de connexion pré-rempli avec le domaine de la victime et capture les identifiants via une connexion WebSocket persistante, permettant l’exfiltration en temps réel et la demande de données supplémentaires telles que des codes 2FA. Les indicateurs de compromission incluent plusieurs sous-domaines de http://mdbgo.io et des domaines non liés tels que xxx-three-theta.vercel.app, client1.inftrimool.xyz, http://psee.io, veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev, lotusbridge.ru.com, et shain-log4rtf.surge.sh.

Atténuation

Vérifiez les adresses des expéditeurs et inspectez les URL avant de cliquer. Utilisez l’authentification multi-facteurs sur tous les comptes. Déployez des logiciels de sécurité à jour avec protection web, tels que Malwarebytes Browser Guard, pour bloquer les redirections malveillantes. Utilisez des gestionnaires de mots de passe qui ne remplissent pas automatiquement les identifiants sur des sites inconnus. Éduquez les utilisateurs à éviter les pièces jointes non sollicitées et à confirmer les demandes inattendues via un canal alternatif. Mettez régulièrement à jour les systèmes d’exploitation et les applications.

Réponse

Bloquez les domaines et sous-domaines malveillants répertoriés au niveau du périmètre réseau et du DNS. Déployez des solutions de filtrage web pour détecter et bloquer les redirections vers des hôtes de phishing connus. Menez des campagnes de réinitialisation des identifiants pour tous les comptes susceptibles d’avoir été compromis. Surveillez le trafic WebSocket pour les connexions sortantes inhabituelles. Effectuez des formations de sensibilisation des utilisateurs axées sur les alertes e-mail usurpées et les techniques de phishing.

Instructions de simulation

• Narratif d’attaque & Commandes :
  Un attaquant ayant accès au réseau de l’instance Redis crée une charge Lua malveillante qui appelle luaX_setinput avec une chaîne surdimensionnée, provoquant un dépassement d’entier dans le moteur Lua. La charge est livrée via redis-cli --eval à la clé cible exploit. L’exécution de cette charge force Redis à charger le script Lua, invoquer la fonction vulnérable, et planter ou exécuter du code arbitraire, ce que la règle de détection surveille précisément.

• Script de test de régression :

  #!/usr/bin/env bash
  # -------------------------------------------------
  # Simulation d'exploit : déclencher le dépassement de luaX_setinput
  # -------------------------------------------------
  set -euo pipefail
  
  REDIS_CLI="redis-cli"
  EXPLOIT_KEY="exploit"
  # Construire une chaîne d'entrée surdimensionnée (> 2^31 octets) – ici nous utilisons une répétition pour simuler la taille