Un atacante desconocido apunt\u00f3 a decenas de miles de servidores Redis no autenticados expuestos en Internet en un intento de instalar un minero de criptomonedas.<\/p>\n
No se sabe de inmediato si todos estos hosts se vieron comprometidos con \u00e9xito. No obstante, fue posible gracias a una “t\u00e9cnica menos conocida” dise\u00f1ada para enga\u00f1ar a los servidores para que escriban datos en archivos arbitrarios, un caso de Acceso no autorizado<\/a> que se document\u00f3 por primera vez en septiembre de 2018.<\/p>\n “La idea general detr\u00e1s de esta t\u00e9cnica de explotaci\u00f3n es configurar Redis para escribir su base de datos basada en archivos en un directorio que contenga alg\u00fan m\u00e9todo para autorizar a un usuario (como agregar una clave a ‘.ssh\/authorized_keys’), o iniciar un proceso (como agregar un script a ‘\/etc\/cron.d’),” Censys dijo<\/a> en un nuevo escrito.<\/p>\n La plataforma de administraci\u00f3n de la superficie de ataque dijo que descubri\u00f3 evidencia (es decir, comandos de Redis) que indican los esfuerzos por parte del atacante para almacenar informaci\u00f3n maliciosa. entradas crontab<\/a> en el archivo “\/var\/spool\/cron\/root”, lo que da como resultado la ejecuci\u00f3n de un script de shell alojado en un servidor remoto.<\/p>\n El script de shell, al que a\u00fan se puede acceder, est\u00e1 dise\u00f1ado para realizar las siguientes acciones:<\/p>\n Se dice que la clave SSH se configur\u00f3 en 15,526 de los 31,239 servidores Redis no autenticados, lo que sugiere que el ataque se intent\u00f3 en “m\u00e1s del 49% de los servidores Redis no autenticados conocidos en Internet”.<\/p>\n Sin embargo, una raz\u00f3n principal por la que este ataque podr\u00eda fallar es que el servicio Redis debe ejecutarse con permisos elevados (es decir, ra\u00edz) para permitir que el adversario escriba en el directorio cron mencionado anteriormente.<\/p>\n “Aunque, este puede ser el caso cuando se ejecuta Redis dentro de un contenedor (como una ventana acoplable), donde el proceso podr\u00eda verse ejecut\u00e1ndose como root y permitir que el atacante escriba estos archivos”, dijeron los investigadores de Censys. “Pero en este caso, solo el contenedor se ve afectado, no el host f\u00edsico”.<\/p>\n El informe de Censys tambi\u00e9n revel\u00f3 que hay alrededor de 350 675 servicios de base de datos Redis accesibles por Internet que abarcan 260 534 hosts \u00fanicos.<\/p>\n “Si bien la mayor\u00eda de estos servicios requieren autenticaci\u00f3n, el 11 % (39 405) no la requiere”, dijo la compa\u00f1\u00eda, y agreg\u00f3 que “del total de 39 405 servidores Redis no autenticados que observamos, la exposici\u00f3n potencial de datos es de m\u00e1s de 300 gigabytes”.<\/p>\n Los 10 principales pa\u00edses con servicios Redis expuestos y no autenticados incluyen China (20 011), EE. UU. (5108), Alemania (1724), Singapur (1236), India (876), Francia (807), Jap\u00f3n (711), Hong Kong ( 512), Pa\u00edses Bajos (433) e Irlanda (390).<\/p>\n China tambi\u00e9n lidera en lo que respecta a la cantidad de datos expuestos por pa\u00eds, con 146 gigabytes de datos, con EE. UU. en un distante segundo lugar con aproximadamente 40 gigabytes.<\/p>\n Censys dijo que tambi\u00e9n encontr\u00f3 numerosos casos de servicios de Redis que se han configurado mal, y se\u00f1al\u00f3 que “Israel es una de las \u00fanicas regiones donde la cantidad de servidores Redis mal configurados supera a los configurados correctamente”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663780944_293_Mas-de-39000-instancias-de-Redis-no-autenticadas-encontradas-expuestas.jpg\")
<\/div>\n\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663780944_730_Mas-de-39000-instancias-de-Redis-no-autenticadas-encontradas-expuestas.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n