-
09/04/2020
-
85
-
554 bài viết
Hacker khai thác lỗ hổng Redis, nhiều máy chủ bị ảnh hưởng
Các nhà nghiên cứu an ninh mạng Rapid7 đã xác định 2.000 máy chủ Linux có kết nối với internet chịu ảnh hưởng bởi lỗ hổng trong Redis đang bị khai thác trong thực tế. Những phiên bản Ubuntu/Debian đã cấu hình Redis không phải là mặc định và có kết nối với internet đều có khả năng trở thành mục tiêu của hacker.
Có mã là CVE-2022-0543 (điểm CVSS là 10), lỗ hổng an ninh được mô tả là không kiểm soát đầy đủ các interface trong Lua. Trong khi Redis liên kết tĩnh với Thư viện Lua, một số gói Debian/Ubuntu liên kết động với nó, dẫn đến một lỗi qua mặt sandbox có thể bị khai thác để thực thi mã từ xa.
Cả Debian và Ubuntu đều công bố các bản vá cho lỗi này vào ngày 18 tháng 2. Tuy nhiên, vào ngày 8 tháng 3, nhà nghiên cứu an ninh mạng người Brazil, Reginaldo Silva, người được ghi nhận tìm ra lỗ hổng, đã công bố PoC của những lỗi này.
Việc lỗ hổng này bị khai thác trong thực tế diễn ra chỉ vài ngày sau khi PoC được công bố và Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phải bổ sung nó vào “Danh mục các lỗ hổng được khai thác” tháng 3.
Hiện tại, Rapid7 cho biết một mô-đun Metasploit đã được cung cấp vào ngày 26 tháng 4 và cảnh báo rằng “những kẻ tấn công sẽ tiếp tục có cơ hội để khai thác lỗ hổng này miễn là mục tiêu tấn công có kết nối đến internet
Các nhà nghiên cứu lưu ý có khoảng 33.000 máy chủ Redis cho phép truy cập mà không cần xác thực từ internet, cùng với những máy chủ khác có thể truy cập công khai nhưng yêu cầu xác thực.
“2.000 máy chủ là con số lớn nhất của các máy chủ Redis sử dụng internet có khả năng bị tấn công bởi CVE-2022-0543. Chúng tôi thực sự không chắc chắn có bao nhiêu trong số các máy chủ này cài đặt phiên bản Redis bị ảnh hưởng hoặc liệu chúng đã được vá hay chưa.” - Rapid7 lưu ý.
Các chuyên gia tin rằng một số máy chủ này có thể là honeypot, nhưng nhìn chung, số lượng mục tiêu dễ bị tấn công bởi CVE-2022-0543 có vẻ cao hơn so với dự đoán ban đầu.
Rapid7 kết luận: “Với việc hành vi khai thác lỗ hổng đã tràn lan trong thực tế, có lẽ đây là lúc hợp lý để ưu tiên sửa chữa lỗ hổng an ninh này trong tổ chức của bạn” - Rapid7 kết luận.
Có mã là CVE-2022-0543 (điểm CVSS là 10), lỗ hổng an ninh được mô tả là không kiểm soát đầy đủ các interface trong Lua. Trong khi Redis liên kết tĩnh với Thư viện Lua, một số gói Debian/Ubuntu liên kết động với nó, dẫn đến một lỗi qua mặt sandbox có thể bị khai thác để thực thi mã từ xa.
Cả Debian và Ubuntu đều công bố các bản vá cho lỗi này vào ngày 18 tháng 2. Tuy nhiên, vào ngày 8 tháng 3, nhà nghiên cứu an ninh mạng người Brazil, Reginaldo Silva, người được ghi nhận tìm ra lỗ hổng, đã công bố PoC của những lỗi này.
Việc lỗ hổng này bị khai thác trong thực tế diễn ra chỉ vài ngày sau khi PoC được công bố và Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phải bổ sung nó vào “Danh mục các lỗ hổng được khai thác” tháng 3.
Hiện tại, Rapid7 cho biết một mô-đun Metasploit đã được cung cấp vào ngày 26 tháng 4 và cảnh báo rằng “những kẻ tấn công sẽ tiếp tục có cơ hội để khai thác lỗ hổng này miễn là mục tiêu tấn công có kết nối đến internet
Các nhà nghiên cứu lưu ý có khoảng 33.000 máy chủ Redis cho phép truy cập mà không cần xác thực từ internet, cùng với những máy chủ khác có thể truy cập công khai nhưng yêu cầu xác thực.
“2.000 máy chủ là con số lớn nhất của các máy chủ Redis sử dụng internet có khả năng bị tấn công bởi CVE-2022-0543. Chúng tôi thực sự không chắc chắn có bao nhiêu trong số các máy chủ này cài đặt phiên bản Redis bị ảnh hưởng hoặc liệu chúng đã được vá hay chưa.” - Rapid7 lưu ý.
Các chuyên gia tin rằng một số máy chủ này có thể là honeypot, nhưng nhìn chung, số lượng mục tiêu dễ bị tấn công bởi CVE-2022-0543 có vẻ cao hơn so với dự đoán ban đầu.
Rapid7 kết luận: “Với việc hành vi khai thác lỗ hổng đã tràn lan trong thực tế, có lẽ đây là lúc hợp lý để ưu tiên sửa chữa lỗ hổng an ninh này trong tổ chức của bạn” - Rapid7 kết luận.
Nguồn: Security Week