CVE-2025-46817: Il Rapporto SOC sul Rafforzamento del Motore Lua Contro Quattro Vulnerabilità Critiche (Redis 8.2.2)

Analisi

I cybercriminali inviano notifiche di consegna email falsificate che sembrano avvisi del filtro antispam interno. I messaggi contengono un pulsante “Sposta nella Posta in arrivo” dannoso e un link di annullamento sottoscrizione che reindirizza tramite un dominio compromesso a un sito di phishing. Il sito utilizza codice pesantemente offuscato e un canale WebSocket per raccogliere istantaneamente le credenziali, inclusi eventuali codici 2FA.

Indagine

I ricercatori hanno osservato che le email di phishing incorporano un indirizzo email codificato in base64 nell’URL di reindirizzamento. Sia il pulsante che il link di annullamento sottoscrizione inoltrano a cbs che poi inoltra all’host di phishing finale. La pagina malevola offre un falso modulo di login precompilato con il dominio della vittima e cattura le credenziali tramite una connessione WebSocket persistente, consentendo l’esfiltrazione in tempo reale e richiedendo dati aggiuntivi come codici 2FA. Gli indicatori di compromissione includono più sottodomini di http://mdbgo.io e domini non correlati come xxx-three-theta.vercel.app, client1.inftrimool.xyz, http://psee.io, veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev, lotusbridge.ru.com e shain-log4rtf.surge.sh.

Mitigazione

Verifica gli indirizzi del mittente e ispeziona gli URL prima di cliccare. Usa l’autenticazione multi‑fattore su tutti gli account. Distribuisci software di sicurezza aggiornato con protezione web, come Malwarebytes Browser Guard, per bloccare i reindirizzamenti dannosi. Utilizza gestori di password che non riempiono automaticamente le credenziali su siti sconosciuti. Educa gli utenti a evitare allegati non richiesti e a confermare richieste inaspettate tramite un canale alternativo. Aggiorna regolarmente i sistemi operativi e le applicazioni.

Risposta

Blocca i domini e sottodomini malevoli elencati al perimetro della rete e a livello DNS. Distribuisci soluzioni di filtraggio web per rilevare e bloccare i reindirizzamenti a host di phishing noti. Conduci campagne di reset delle credenziali per qualsiasi account che potrebbe essere stato compromesso. Monitora il traffico WebSocket per connessioni in uscita insolite. Esegui formazione sulla consapevolezza degli utenti focalizzata su avvisi email falsi e tecniche di phishing.

Istruzioni per la Simulazione

• Narrazione dell’Attacco & Comandi:
  Un attaccante con accesso alla rete all’istanza di Redis crea un payload Lua malevolo che chiama luaX_setinput con una stringa di dimensioni eccessive, causando un overflow di intero all’interno del motore Lua. Il payload viene consegnato tramite redis-cli --eval alla chiave di destinazione exploit. L’esecuzione di questo payload forza Redis a caricare lo script Lua, invocare la funzione vulnerabile e crash o eseguire codice arbitrario, esattamente ciò che la regola di rilevamento è progettata a sorvegliare.

• Script di Test di Regressione:

  #!/usr/bin/env bash
  # -------------------------------------------------
  # Simulazione di exploit: innesca overflow luaX_setinput
  # -------------------------------------------------
  set -euo pipefail
  
  REDIS_CLI="redis-cli"
  EXPLOIT_KEY="exploit"
  # Costruisci una stringa di input sovradimensionata (> 2^31 byte) – qui usiamo un ripetere per simulare la dimensione