Redis sunucuları nasıl yeni Redigo kötü amaçlı yazılımının hedefi haline geliyor?



“Uzak sözlük sunucusu” anlamına gelen Redis, bellekte çalışan ve açık kaynaklı bir önbellek ve veritabanıdır. 2009 yılında, müşterilerine ilişkisel bir veritabanının yönetebileceğinden daha hızlı veri göndermek için bir mekanizma gerektiren gerçek zamanlı uygulamalar için bir çözüm olarak ilk kez kullanıma sunuldu. Verilerin kısa bir yanıt süresi içinde alınmasını ve dağıtılmasını sağlar ve saniyede milyonlarca sorguyu barındırabilir. Redis, genellikle bellekte alınan verileri depolayarak ve bunu yapmak için bir önbellek kullanarak yanıt vermesini sağlar.

Bulut güvenliği şirketi Aqua Security için çalışan araştırmacılar, Redis sunucularını hedefleyen bir arka kapı keşfettiler ve bu konuda alarm veriyorlar.

Redigo adı verilen ve Go’da yazılan kötü amaçlı yazılımın, Redis’teki bilinen bir güvenlik açığından (CVE-2022-0543, CVSS puanı 10) yararlanan bir saldırıda kullanıldığı görüldü. erişim.

Uzaktan kod yürütmeye (RCE) izin verebilecek güvenlik açığı, Nisan ayında bilgi güvenliği alanındaki uzmanların etkilenme olasılığı bulunan 2.000’den fazla internete bakan sunucuyu tespit etmesiyle haber olmuştu. Şubat, birçok yamanın yayınlandığını gördü.

Redis, Lua komut dosyası oluşturma motorunu kullandığı için saldırıya karşı hassastır. Bu, kullanıcıların Lua programlarını doğrudan sunucuya yüklemesine ve çalıştırmasına olanak tanır. Güvenlik açığı tespit edildi. Redis mimarisi, Redis istemcisi ve Redis sunucusunun iki ana çalışan işlemi olarak oluşur. Redis sunucusu, tüm tasarımın en önemli bileşenidir. Verileri bellekte depolamaktan ve depolama yönetimi ile ilgili işlemleri yönetmekten sorumludur. Sunucuda ayrıca, kullanıcıların Lua komut dosyalarını yüklemelerine ve bunları bir aracıya ihtiyaç duymadan doğrudan sunucuda çalıştırmalarına olanak tanıyan bir Lua komut dosyası oluşturma motoru vardır. Bu yetenek nedeniyle, betiklerden veri okuma ve yazma işlemi oldukça verimli hale getirilir. Motorun, Redis istemcileriyle etkileşimlerin Redis uygulama programlama arabirimleri (API’ler) kullanılarak gerçekleştirileceği, dolayısıyla istemcinin Redis’in çalıştığı bilgisayarda rastgele kod yürütme becerisini kısıtlayacağı şekilde korumalı alana alınması gerekir. Öte yandan 2022 yılında Lua scripting motorunda bir güvenlik açığı olduğu tespit edildi. Lua kütüphanesi, Debian tarafından dağıtılan bazı paketlerde dinamik bir kütüphane sunuyordu. Redis sunucusu Lua kitaplığını her yüklediğinde, bir paket değişkeninin örneği yüklenir. Paket, herhangi bir Lua kitaplığının içinden çağrılabilmesi için Lua sanal alanında tutulur. Sonuç olarak, bir düşmanın keyfi talimatları yerine getirmesini mümkün kılan bir Lua sanal alan kaçışı meydana geldi.

İnternetten erişilebilen Redis sunucuları arayan saldırganlar, CVE-2022-0543’e karşı savunmasız olan örnekleri belirlemelerine olanak tanıyan bir dizi komut yürütebilir. Daha sonra güvenlik açığından yararlanarak güvenlik açıklarını belirledikten sonra saldırganın kontrolü altında kod çalıştırabilirler.

Gözlemlenen saldırıların bir parçası olarak, kötü niyetli kişiler, komuta ve kontrol (C&C) sunucusuyla bağlantısını gizleyerek bilgisayardaki varlığını kamufle eden Redigo arka kapısını indiriyor ve çalıştırıyordu.

Aqua, Redigo siber saldırılarının amacını belirlemede başarılı olamadı; yine de şirket, dağıtılmış hizmet reddi (DDoS), kripto madenciliği, veri hırsızlığı ve güvenliği ihlal edilmiş ortamlara kalıcı erişimin en olası açıklamalar olduğunu düşünüyor.

Araştırmacılar, arka kapının bazı özelliklerinin Redis’e özgü olması nedeniyle tehdidin saldırıyı gerçekleştirenler tarafından Redis sunucularına özel olarak oluşturulduğunu düşünüyor. Şu anda, kötü amaçlı yazılım VirusTotal’ın kötü amaçlı yazılımdan koruma motorlarından hiçbiri tarafından tanınmamaktadır.

Rakipler, keşfedilmemek için davranışlarını gizli tutmakla ilgilenirler. Bunu, gerçek gibi görünen ve 6379 numaralı bağlantı noktasını kullanarak Redis kümelerindeki iletişimi taklit eden bir Redis bağlantı yöntemi kullanarak başarabilirler. saldırıya açık sunucu.

Redis sunucu sahiplerinin düzeltmeleri mümkün olur olmaz uygulamaları ve olağan dışı davranışlara karşı ortamlarını yakından izlemeleri önemle tavsiye edilir.



Source link