Bilinmeyen bir saldırgan, bir kripto para madenciliği kurmak amacıyla internette açığa çıkan on binlerce kimliği doğrulanmamış Redis sunucusunu hedef aldı.
Tüm bu ana bilgisayarların başarıyla ele geçirilip geçirilmediği hemen bilinmiyor. Bununla birlikte, sunucuları rastgele dosyalara veri yazmaları için kandırmak için tasarlanmış “daha az bilinen bir teknik” ile mümkün hale getirildi – ilk olarak Eylül 2018’de belgelenen bir yetkisiz erişim vakası.
“Bu istismar tekniğinin arkasındaki genel fikir, Redis’i dosya tabanlı veritabanını bir kullanıcıyı yetkilendirmek için bir yöntem içeren bir dizine yazacak şekilde (‘.ssh/yetkili_keys’e bir anahtar eklemek gibi) veya bir işlemi başlatmak (ekleme gibi) için yapılandırmaktır. ‘/etc/cron.d’ için bir komut dosyası),” dedi Censys yeni bir yazıda.
Saldırı yüzeyi yönetim platformu, saldırganın kötü niyetli crontab girişlerini “/var/spool/cron/root” dosyasına depolama çabalarını gösteren kanıtları (yani Redis komutları) ortaya çıkardığını ve bunun sonucunda barındırılan bir kabuk komut dosyasının yürütülmesine neden olduğunu söyledi. uzak bir sunucuda.
Hâlâ erişilebilir olan kabuk komut dosyası, aşağıdaki eylemleri gerçekleştirmek üzere tasarlanmıştır –
- Güvenlikle ilgili ve sistem izleme süreçlerini sonlandırın
- Günlük dosyalarını ve komut geçmişlerini temizle
- Uzaktan erişimi etkinleştirmek için kök kullanıcının yetkili_anahtarları dosyasına yeni bir SSH anahtarı (“yedekleme1”) ekleyin
- iptables güvenlik duvarını devre dışı bırak
- Masscan gibi tarama araçlarını kurun ve
- XMRig kripto para madenciliği uygulamasını kurun ve çalıştırın
SSH anahtarının, 31.239 kimliği doğrulanmamış Redis sunucusundan 15.526’sına ayarlandığı söyleniyor, bu da saldırının “internetteki kimliği doğrulanmamış, bilinen Redis sunucularının %49’undan fazlasına” yapılmaya çalışıldığını gösteriyor.
Ancak, bu saldırının başarısız olmasının birincil nedeni, düşmanın yukarıda belirtilen cron dizinine yazabilmesi için Redis hizmetinin yükseltilmiş izinlerle (yani kök) çalışması gerektiğidir.
Censys araştırmacıları, “Her ne kadar bu, Redis’i bir kapsayıcıda (docker gibi) çalıştırırken, sürecin kendisini kök olarak çalıştığını görebileceği ve saldırganın bu dosyaları yazmasına izin verebileceği durum olabilir.” Dedi. “Ancak bu durumda, fiziksel ana bilgisayar değil, yalnızca kapsayıcı etkilenir.”
Censys’in raporu ayrıca 260.534 benzersiz ana bilgisayarı kapsayan yaklaşık 350.675 internet erişimli Redis veritabanı hizmeti olduğunu ortaya koydu.
“Bu hizmetlerin çoğu kimlik doğrulama gerektirirken, %11’i (39.405) bunu gerektirmez” diyen şirket, “Gözlemlediğimiz toplam 39.405 kimliği doğrulanmamış Redis sunucusundan potansiyel veri maruziyeti 300 gigabaytın üzerinde” dedi.
Açık ve kimliği doğrulanmamış Redis hizmetlerine sahip ilk 10 ülke arasında Çin (20,011), ABD (5108), Almanya (1,724), Singapur (1.236), Hindistan (876), Fransa (807), Japonya (711), Hong Kong ( 512), Hollanda (433) ve İrlanda (390).
Çin ayrıca, 146 gigabayt veriye karşılık gelen ülke başına maruz kalan veri miktarına gelince de liderdir ve ABD kabaca 40 gigabayt ile uzak bir saniye geliyor.
Censys ayrıca yanlış yapılandırılmış çok sayıda Redis hizmeti örneği bulduğunu ve “İsrail’in yanlış yapılandırılmış Redis sunucularının sayısının düzgün yapılandırılmış sunuculardan daha fazla olduğu bölgelerden biri olduğunu” belirtti.
Tehditleri azaltmak için kullanıcılara, istemci kimlik doğrulamasını etkinleştirmeleri, Redis’i yalnızca dahili ağ arabirimlerinde çalışacak şekilde yapılandırmaları, CONFIG komutunu tahmin edilemez bir şekilde yeniden adlandırarak kötüye kullanımını önlemeleri ve güvenlik duvarlarını yalnızca güvenilir ana bilgisayarlardan Redis bağlantılarını kabul edecek şekilde yapılandırmaları önerilir.