Bilinmeyen bir saldırgan, bir kripto para madenciliği kurmak amacıyla internette açığa çıkan on binlerce kimliği doğrulanmamış Redis sunucusunu hedef aldı.
Tüm bu ana bilgisayarların başarıyla ele geçirilip geçirilmediği hemen bilinmiyor. Bununla birlikte, sunucuları rastgele dosyalara veri yazmaları için kandırmak için tasarlanmış “daha az bilinen bir teknik” aracılığıyla mümkün kılındı. Yetkisiz Erişim Bu ilk olarak Eylül 2018’de belgelendi.
“Bu istismar tekniğinin arkasındaki genel fikir, Redis’i dosya tabanlı veritabanını bir kullanıcıyı yetkilendirmek için bir yöntem içeren bir dizine yazacak şekilde (‘.ssh/yetkili_keys’e bir anahtar eklemek gibi) veya bir işlemi başlatmak (ekleme gibi) için yapılandırmaktır. ‘/etc/cron.d’ için bir komut dosyası),” Censys söz konusu yeni bir yazımda.
Saldırı yüzeyi yönetim platformu, saldırganın kötü amaçlı yazılımları depolama çabalarını gösteren kanıtlar (yani Redis komutları) ortaya çıkardığını söyledi. crontab girişleri “/var/spool/cron/root” dosyasına, uzak bir sunucuda barındırılan bir kabuk komut dosyasının yürütülmesine neden olur.
Hâlâ erişilebilir olan kabuk komut dosyası, aşağıdaki eylemleri gerçekleştirmek üzere tasarlanmıştır –
- Güvenlikle ilgili ve sistem izleme süreçlerini sonlandırın
- Günlük dosyalarını ve komut geçmişlerini temizle
- Kök kullanıcıya yeni bir SSH anahtarı (“yedekleme1”) ekleyin. yetkili_anahtarlar dosyası uzaktan erişimi etkinleştirmek için
- Devre dışı bırakmak iptables güvenlik duvarı
- Masscan gibi tarama araçlarını kurun ve
- XMRig kripto para madenciliği uygulamasını kurun ve çalıştırın
SSH anahtarının, 31.239 kimliği doğrulanmamış Redis sunucusundan 15.526’sına ayarlandığı söyleniyor, bu da saldırının “internetteki kimliği doğrulanmamış, bilinen Redis sunucularının %49’undan fazlasına” yapılmaya çalışıldığını gösteriyor.
Ancak, bu saldırının başarısız olmasının birincil nedeni, düşmanın yukarıda belirtilen cron dizinine yazabilmesi için Redis hizmetinin yükseltilmiş izinlerle (yani kök) çalışması gerektiğidir.
Censys araştırmacıları, “Her ne kadar bu, Redis’i bir kapsayıcıda (docker gibi) çalıştırırken, sürecin kendisini kök olarak çalıştığını görebileceği ve saldırganın bu dosyaları yazmasına izin verebileceği durum olabilir.” Dedi. “Ancak bu durumda, fiziksel ana bilgisayar değil, yalnızca kapsayıcı etkilenir.”
Censys’in raporu ayrıca 260.534 benzersiz ana bilgisayarı kapsayan yaklaşık 350.675 internet erişimli Redis veritabanı hizmeti olduğunu ortaya koydu.
“Bu hizmetlerin çoğu kimlik doğrulama gerektirirken, %11’i (39.405) bunu gerektirmez” diyen şirket, “Gözlemlediğimiz toplam 39.405 kimliği doğrulanmamış Redis sunucusundan potansiyel veri maruziyeti 300 gigabaytın üzerinde” dedi.
Açık ve kimliği doğrulanmamış Redis hizmetlerine sahip ilk 10 ülke arasında Çin (20,011), ABD (5108), Almanya (1,724), Singapur (1.236), Hindistan (876), Fransa (807), Japonya (711), Hong Kong ( 512), Hollanda (433) ve İrlanda (390).
Çin ayrıca, 146 gigabayt veriye karşılık gelen ülke başına maruz kalan veri miktarına gelince de liderdir ve ABD kabaca 40 gigabayt ile uzak bir saniye geliyor.
Censys ayrıca yanlış yapılandırılmış çok sayıda Redis hizmeti örneği bulduğunu ve “İsrail’in yanlış yapılandırılmış Redis sunucularının sayısının düzgün yapılandırılmış sunuculardan daha fazla olduğu bölgelerden biri olduğunu” belirtti.
İle tehditleri azaltmakkullanıcılara istemci kimlik doğrulamasını etkinleştirmeleri, Redis’i yalnızca dahili ağ arabirimlerinde çalışacak şekilde yapılandırmaları, CONFIG komutunu tahmin edilemez bir şekilde yeniden adlandırarak kötüye kullanılmasını önlemeleri ve güvenlik duvarlarını yalnızca güvenilir ana bilgisayarlardan Redis bağlantılarını kabul edecek şekilde yapılandırmaları önerilir.