Marcus1337
VIP Members
-
01/04/2021
-
62
-
76 bài viết
Hơn 39.000 máy chủ Redis không bật xác thực được tìm thấy trên Internet
Kẻ tấn công không xác định đã nhắm mục tiêu hàng chục nghìn máy chủ Redis không cần xác thực đang được công khai trên internet nhằm cố gắng cài đặt một công cụ khai thác tiền điện tử.
Chưa thể xác định liệu tất cả các máy chủ này có bị xâm nhập thành công hay không, tuy nhiên, hacker vẫn có thể thực hiện xâm nhập bằng kỹ thuật đánh lừa các máy chủ ghi dữ liệu vào các tệp tùy ý. Trường hợp truy cập trái phép không cần xác thực lần đầu tiên được ghi nhận vào tháng 9 năm 2018.
Theo Censys: “Ý tưởng chung đằng sau kỹ thuật khai thác này là cấu hình Redis để ghi cơ sở dữ liệu dựa trên tệp của nó vào một thư mục chứa một số phương thức để cấp quyền cho người dùng (như thêm khóa vào '.ssh/allow_keys') hoặc bắt đầu một tiến trình (như thêm một tập lệnh cho '/etc/cron.d')".
Nền tảng quản lý nguy cơ các cuộc tấn công cho biết họ đã phát hiện ra bằng chứng chỉ ra nỗ lực của những kẻ tấn công để lưu trữ các mục crontab độc hại vào tệp "/var/spool/cron/root", dẫn đến việc thực thi một tập lệnh shell được lưu trữ trên một máy chủ từ xa.
Tập lệnh shell được thiết kế để thực hiện các hành động sau:
Tuy nhiên, lý do chính khiến cuộc tấn công này có thể thất bại là do dịch vụ Redis cần phải chạy với quyền cao (quyền root) để cho phép hacker vào thư mục cron nói trên. Các nhà nghiên cứu của Censys cho biết: “Mặc dù, trường hợp này có thể xảy ra khi chạy Redis bên trong một container (như docker), nơi tiến trình có thể chạy dưới quyền root và cho phép kẻ tấn công ghi các tệp. Nhưng trong trường hợp này, chỉ có container bị ảnh hưởng, không phải máy chủ vật lý.”
Báo cáo của Censys cũng tiết lộ rằng có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập internet trên 260.534 máy chủ duy nhất. Công ty cho biết: “Trong khi hầu hết các dịch vụ này đều yêu cầu xác thực, 11% (39.405) dịch vụ không yêu cầu quyền xác thực này. Và trong tổng số 39.405 máy chủ Redis không bật xác thực mà chúng tôi đã quan sát, mức độ phơi nhiễm dữ liệu tiềm năng là hơn 300 gigabyte".
10 quốc gia hàng đầu có dịch vụ Redis bị lộ không cần xác thực bao gồm Trung Quốc (20.011), Hoa Kỳ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông ( 512), Hà Lan (433) và Ireland (390). Trung Quốc cũng dẫn đầu khi nói đến số lượng dữ liệu được hiển thị trên mỗi quốc gia, chiếm 146 gigabyte dữ liệu, trong khi Mỹ đứng thứ hai với khoảng 40 gigabyte. Censys cho biết họ cũng tìm thấy nhiều trường hợp dịch vụ Redis bị định cấu hình sai và Israel là một trong những khu vực duy nhất có số lượng máy chủ Redis bị định cấu hình sai nhiều hơn số máy chủ được định cấu hình đúng.
Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực máy khách, định cấu hình Redis chỉ chạy trên các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một thứ gì đó không thể đoán được và định cấu hình tường lửa để chỉ chấp nhận các kết nối Redis từ các máy chủ đáng tin cậy.
Chưa thể xác định liệu tất cả các máy chủ này có bị xâm nhập thành công hay không, tuy nhiên, hacker vẫn có thể thực hiện xâm nhập bằng kỹ thuật đánh lừa các máy chủ ghi dữ liệu vào các tệp tùy ý. Trường hợp truy cập trái phép không cần xác thực lần đầu tiên được ghi nhận vào tháng 9 năm 2018.
Theo Censys: “Ý tưởng chung đằng sau kỹ thuật khai thác này là cấu hình Redis để ghi cơ sở dữ liệu dựa trên tệp của nó vào một thư mục chứa một số phương thức để cấp quyền cho người dùng (như thêm khóa vào '.ssh/allow_keys') hoặc bắt đầu một tiến trình (như thêm một tập lệnh cho '/etc/cron.d')".
Nền tảng quản lý nguy cơ các cuộc tấn công cho biết họ đã phát hiện ra bằng chứng chỉ ra nỗ lực của những kẻ tấn công để lưu trữ các mục crontab độc hại vào tệp "/var/spool/cron/root", dẫn đến việc thực thi một tập lệnh shell được lưu trữ trên một máy chủ từ xa.
- Hủy các tiến trình liên quan đến an ninh và giám sát hệ thống.
- Xóa các tệp nhật ký và lịch sử lệnh.
- Thêm khóa SSH mới ("backup1") vào tệp authorized_keys file của người dùng root để cho phép truy cập từ xa.
- Tắt tường lửa iptables.
- Cài đặt các công cụ quét như masscan.
- Cài đặt và chạy ứng dụng khai thác tiền điện tử XMRig.
Tuy nhiên, lý do chính khiến cuộc tấn công này có thể thất bại là do dịch vụ Redis cần phải chạy với quyền cao (quyền root) để cho phép hacker vào thư mục cron nói trên. Các nhà nghiên cứu của Censys cho biết: “Mặc dù, trường hợp này có thể xảy ra khi chạy Redis bên trong một container (như docker), nơi tiến trình có thể chạy dưới quyền root và cho phép kẻ tấn công ghi các tệp. Nhưng trong trường hợp này, chỉ có container bị ảnh hưởng, không phải máy chủ vật lý.”
Báo cáo của Censys cũng tiết lộ rằng có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập internet trên 260.534 máy chủ duy nhất. Công ty cho biết: “Trong khi hầu hết các dịch vụ này đều yêu cầu xác thực, 11% (39.405) dịch vụ không yêu cầu quyền xác thực này. Và trong tổng số 39.405 máy chủ Redis không bật xác thực mà chúng tôi đã quan sát, mức độ phơi nhiễm dữ liệu tiềm năng là hơn 300 gigabyte".
10 quốc gia hàng đầu có dịch vụ Redis bị lộ không cần xác thực bao gồm Trung Quốc (20.011), Hoa Kỳ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông ( 512), Hà Lan (433) và Ireland (390). Trung Quốc cũng dẫn đầu khi nói đến số lượng dữ liệu được hiển thị trên mỗi quốc gia, chiếm 146 gigabyte dữ liệu, trong khi Mỹ đứng thứ hai với khoảng 40 gigabyte. Censys cho biết họ cũng tìm thấy nhiều trường hợp dịch vụ Redis bị định cấu hình sai và Israel là một trong những khu vực duy nhất có số lượng máy chủ Redis bị định cấu hình sai nhiều hơn số máy chủ được định cấu hình đúng.
Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực máy khách, định cấu hình Redis chỉ chạy trên các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một thứ gì đó không thể đoán được và định cấu hình tường lửa để chỉ chấp nhận các kết nối Redis từ các máy chủ đáng tin cậy.
Theo: The Hacker News
Chỉnh sửa lần cuối: