{"id":375806,"date":"2022-09-21T13:20:26","date_gmt":"2022-09-21T15:20:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/plus-de-39-000-instances-redis-non-authentifiees-trouvees-exposees-sur-internet\/"},"modified":"2022-09-21T13:20:27","modified_gmt":"2022-09-21T15:20:27","slug":"plus-de-39-000-instances-redis-non-authentifiees-trouvees-exposees-sur-internet","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/plus-de-39-000-instances-redis-non-authentifiees-trouvees-exposees-sur-internet\/","title":{"rendered":"Plus de 39 000 instances Redis non authentifi\u00e9es trouv\u00e9es expos\u00e9es sur Internet"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un attaquant inconnu a cibl\u00e9 des dizaines de milliers de serveurs Redis non authentifi\u00e9s expos\u00e9s sur Internet dans le but d&#8217;installer un mineur de crypto-monnaie.<\/p>\n<p>On ne sait pas imm\u00e9diatement si tous ces h\u00f4tes ont \u00e9t\u00e9 compromis avec succ\u00e8s.  N\u00e9anmoins, cela a \u00e9t\u00e9 rendu possible gr\u00e2ce \u00e0 une &#8220;technique moins connue&#8221; con\u00e7ue pour inciter les serveurs \u00e0 \u00e9crire des donn\u00e9es dans des fichiers arbitraires &#8211; un cas de <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@Victor.Z.Zhu\/redis-unauthorized-access-vulnerability-simulation-victor-zhu-ac7a71b2e419\" target=\"_blank\">l&#8217;acc\u00e8s non autoris\u00e9<\/a> qui a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois en septembre 2018.<\/p>\n<p>&#8220;L&#8217;id\u00e9e g\u00e9n\u00e9rale derri\u00e8re cette technique d&#8217;exploitation est de configurer Redis pour \u00e9crire sa base de donn\u00e9es bas\u00e9e sur des fichiers dans un r\u00e9pertoire contenant une m\u00e9thode pour autoriser un utilisateur (comme ajouter une cl\u00e9 \u00e0 &#8216;.ssh\/authorized_keys&#8217;), ou d\u00e9marrer un processus (comme ajouter un script vers &#8216;\/etc\/cron.d&#8217;)&#8221;, Censys <a rel=\"nofollow noopener\" href=\"https:\/\/censys.io\/databases-exposed-redis\/\" target=\"_blank\">a dit<\/a> dans une nouvelle r\u00e9daction.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La plate-forme de gestion de la surface d&#8217;attaque a d\u00e9clar\u00e9 avoir d\u00e9couvert des preuves (c&#8217;est-\u00e0-dire des commandes Redis) indiquant les efforts d&#8217;une partie de l&#8217;attaquant pour stocker des \u00e9l\u00e9ments malveillants. <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Cron\" target=\"_blank\">entr\u00e9es crontab<\/a> dans le fichier &#8220;\/var\/spool\/cron\/root&#8221;, entra\u00eenant l&#8217;ex\u00e9cution d&#8217;un script shell h\u00e9berg\u00e9 sur un serveur distant.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"398\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663773626_610_Plus-de-39-000-instances-Redis-non-authentifiees-trouvees-exposees.jpg\" \/><\/div>\n<p>Le script shell, qui est toujours accessible, est con\u00e7u pour effectuer les actions suivantes\u00a0:<\/p>\n<ul>\n<li>Mettre fin aux processus li\u00e9s \u00e0 la s\u00e9curit\u00e9 et \u00e0 la surveillance du syst\u00e8me<\/li>\n<li>Purger les fichiers journaux et les historiques de commandes<\/li>\n<li>Ajoutez une nouvelle cl\u00e9 SSH (&#8220;backup1&#8221;) \u00e0 l&#8217;utilisateur root <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-configure-ssh-key-based-authentication-on-a-linux-server\" target=\"_blank\">fichierauthorized_keys<\/a> pour activer l&#8217;acc\u00e8s \u00e0 distance<\/li>\n<li>D\u00e9sactiver <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Iptables\" target=\"_blank\">iptables<\/a> pare-feu<\/li>\n<li>Installez des outils de num\u00e9risation comme masscan, et<\/li>\n<li>Installez et ex\u00e9cutez l&#8217;application d&#8217;extraction de crypto-monnaie XMRig<\/li>\n<\/ul>\n<p>La cl\u00e9 SSH aurait \u00e9t\u00e9 d\u00e9finie sur 15 526 des 31 239 serveurs Redis non authentifi\u00e9s, ce qui sugg\u00e8re que l&#8217;attaque a \u00e9t\u00e9 tent\u00e9e sur &#8220;plus de 49 % des serveurs Redis non authentifi\u00e9s connus sur Internet&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"486\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663773626_917_Plus-de-39-000-instances-Redis-non-authentifiees-trouvees-exposees.jpg\" \/><\/div>\n<p>Cependant, l&#8217;une des principales raisons pour lesquelles cette attaque pourrait \u00e9chouer est que le service Redis doit \u00eatre ex\u00e9cut\u00e9 avec des autorisations \u00e9lev\u00e9es (c&#8217;est-\u00e0-dire root) afin de permettre \u00e0 l&#8217;adversaire d&#8217;\u00e9crire dans le r\u00e9pertoire cron susmentionn\u00e9.<\/p>\n<p>&#8220;Bien que cela puisse \u00eatre le cas lors de l&#8217;ex\u00e9cution de Redis dans un conteneur (comme docker), o\u00f9 le processus peut se voir s&#8217;ex\u00e9cuter en tant que root et permettre \u00e0 l&#8217;attaquant d&#8217;\u00e9crire ces fichiers&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Censys.  &#8220;Mais dans ce cas, seul le conteneur est affect\u00e9, pas l&#8217;h\u00f4te physique.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le rapport de Censys a \u00e9galement r\u00e9v\u00e9l\u00e9 qu&#8217;il existe environ 350 675 services de base de donn\u00e9es Redis accessibles sur Internet couvrant 260 534 h\u00f4tes uniques.<\/p>\n<p>&#8220;Alors que la plupart de ces services n\u00e9cessitent une authentification, 11% (39 405) ne le font pas&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9, ajoutant que &#8220;sur le total de 39 405 serveurs Redis non authentifi\u00e9s que nous avons observ\u00e9s, l&#8217;exposition potentielle des donn\u00e9es est sup\u00e9rieure \u00e0 300 gigaoctets&#8221;.<\/p>\n<p>Les 10 principaux pays avec des services Redis expos\u00e9s et non authentifi\u00e9s sont la Chine (20 011), les \u00c9tats-Unis (5 108), l&#8217;Allemagne (1 724), Singapour (1 236), l&#8217;Inde (876), la France (807), le Japon (711), Hong Kong ( 512), les Pays-Bas (433) et l&#8217;Irlande (390).<\/p>\n<p>La Chine est \u00e9galement en t\u00eate en ce qui concerne la quantit\u00e9 de donn\u00e9es expos\u00e9es par pays, repr\u00e9sentant 146 gigaoctets de donn\u00e9es, les \u00c9tats-Unis venant loin derri\u00e8re avec environ 40 gigaoctets.<\/p>\n<p>Censys a d\u00e9clar\u00e9 avoir \u00e9galement trouv\u00e9 de nombreuses instances de services Redis mal configur\u00e9s, notant qu'&#8221;Isra\u00ebl est l&#8217;une des seules r\u00e9gions o\u00f9 le nombre de serveurs Redis mal configur\u00e9s d\u00e9passe celui des serveurs correctement configur\u00e9s&#8221;.<\/p>\n<p>\u00c0 <a rel=\"nofollow noopener\" href=\"https:\/\/redis.io\/docs\/manual\/security\/\" target=\"_blank\">att\u00e9nuer les menaces<\/a>il est conseill\u00e9 aux utilisateurs d&#8217;activer l&#8217;authentification client, de configurer Redis pour qu&#8217;il ne s&#8217;ex\u00e9cute que sur des interfaces r\u00e9seau internes, d&#8217;emp\u00eacher l&#8217;utilisation abusive de la commande CONFIG en la renommant en quelque chose d&#8217;ind\u00e9niable et de configurer les pare-feu pour accepter les connexions Redis uniquement \u00e0 partir d&#8217;h\u00f4tes de confiance.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/over-39000-unauthenticated-redis.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un attaquant inconnu a cibl\u00e9 des dizaines de milliers de serveurs Redis non authentifi\u00e9s expos\u00e9s sur Internet dans le but d&#8217;installer un mineur de crypto-monnaie. On ne sait pas imm\u00e9diatement si tous ces h\u00f4tes ont \u00e9t\u00e9 compromis avec succ\u00e8s. N\u00e9anmoins, cela a \u00e9t\u00e9 rendu possible gr\u00e2ce \u00e0 une &#8220;technique moins connue&#8221; con\u00e7ue pour inciter les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":375807,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[110669,4168,4158,4165,4161,6855,68196,13138,4157,4159,4171,4170,4167,4160,4163,4162,37829,4172,4169,60,55837,4166,4164],"class_list":["post-375806","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-authentifiees","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-exposees","tag-instances","tag-internet","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-redis","tag-securite-informatique","tag-securite-internet","tag-sur","tag-trouvees","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/375806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=375806"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/375806\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/375807"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=375806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=375806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=375806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}