Lebih dari 39.000 Instance Redis Tidak Diautentikasi Ditemukan Terungkap di Internet

  • Whatsapp
Lebih dari 39.000 Instance Redis Tidak Diautentikasi Ditemukan Terungkap di Internet
Lebih dari Instance Redis Tidak Diautentikasi Ditemukan Terungkap di

News.nextcloud.asia –

Penyerang tak dikenal menargetkan puluhan ribu server Redis yang tidak diautentikasi yang terpapar di internet dalam upaya memasang penambang cryptocurrency.

Tidak segera diketahui apakah semua host ini berhasil disusupi. Meskipun demikian, itu dimungkinkan melalui “teknik yang kurang dikenal” yang dirancang untuk mengelabui server agar menulis data ke file arbitrer – kasus akses tidak sah yang pertama kali didokumentasikan pada September 2018.

“Ide umum di balik teknik eksploitasi ini adalah mengonfigurasi Redis untuk menulis database berbasis filenya ke direktori yang berisi beberapa metode untuk mengotorisasi pengguna (seperti menambahkan kunci ke ‘.ssh/authorized_keys’), atau memulai proses (seperti menambahkan skrip ke ‘/etc/cron.d’),” Censys dikatakan dalam tulisan baru.

Keamanan cyber

Platform manajemen permukaan serangan mengatakan telah menemukan bukti (yaitu, perintah Redis) yang menunjukkan upaya penyerang untuk menyimpan kejahatan entri crontab ke dalam file “/var/spool/cron/root,” menghasilkan eksekusi skrip shell yang dihosting di server jauh.

Skrip shell, yang masih dapat diakses, direkayasa untuk melakukan tindakan berikut –

  • Hentikan proses terkait keamanan dan pemantauan sistem
  • Bersihkan file log dan riwayat perintah
  • Tambahkan kunci SSH baru (“backup1”) ke pengguna root file otorisasi_keys untuk mengaktifkan akses jarak jauh
  • Cacat iptables firewall
  • Instal alat pemindaian seperti masscan, dan
  • Instal dan jalankan aplikasi penambangan cryptocurrency XMRig

Kunci SSH dikatakan telah ditetapkan pada 15.526 dari 31.239 server Redis yang tidak diautentikasi, menunjukkan bahwa serangan itu dicoba pada “lebih dari 49% server Redis yang tidak diautentikasi yang diketahui di internet.”

Namun, alasan utama mengapa serangan ini bisa gagal adalah karena layanan Redis perlu dijalankan dengan izin yang lebih tinggi (yaitu, root) sehingga memungkinkan musuh untuk menulis ke direktori cron yang disebutkan di atas.

“Meskipun, ini bisa terjadi ketika menjalankan Redis di dalam wadah (seperti buruh pelabuhan), di mana proses mungkin melihat dirinya berjalan sebagai root dan memungkinkan penyerang untuk menulis file-file ini,” kata peneliti Censys. “Tetapi dalam kasus ini, hanya wadah yang terpengaruh, bukan host fisik.”

Keamanan cyber

Laporan Censys juga mengungkapkan bahwa ada sekitar 350.675 layanan database Redis yang dapat diakses melalui internet yang mencakup 260.534 host unik.

“Sementara sebagian besar layanan ini memerlukan otentikasi, 11% (39.405) tidak,” kata perusahaan itu, menambahkan “dari total 39.405 server Redis yang tidak diautentikasi yang kami amati, potensi paparan data lebih dari 300 gigabyte.”

10 negara teratas dengan layanan Redis yang terbuka dan tidak diautentikasi termasuk China (20.011), AS (5.108), Jerman (1.724), Singapura (1.236), India (876), Prancis (807), Jepang (711), Hong Kong ( 512), Belanda (433), dan Irlandia (390).

China juga memimpin dalam hal jumlah data yang diekspos per negara, terhitung 146 gigabyte data, dengan AS berada di urutan kedua dengan sekitar 40 gigabyte.

Censys mengatakan juga menemukan banyak contoh layanan Redis yang salah konfigurasi, mencatat bahwa “Israel adalah satu-satunya wilayah di mana jumlah server Redis yang salah konfigurasi melebihi jumlah yang dikonfigurasi dengan benar.”

Ke mengurangi ancamanpengguna disarankan untuk mengaktifkan otentikasi klien, mengonfigurasi Redis untuk berjalan hanya pada antarmuka jaringan internal, mencegah penyalahgunaan perintah CONFIG dengan mengganti namanya menjadi sesuatu yang tidak dapat dipahami, dan mengonfigurasi firewall untuk menerima koneksi Redis hanya dari host tepercaya.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.