Специалисты Risk Based Security представили исследование, согласно которому разработчики Redis совершенно напрасно не уделяли внимание безопасности своего детища. Исследователям удалось обнаружить 6338 скомпрометированных серверов Redis, из-за чего под угрозой оказались более 30 000 баз данных.
Redis считается почти идеальным решением среди NoSQL БД серверов и key-value хранилищ. Согласно статистике DB-Engines, в 2015 году Redis занимал десятое место по популярности. Однако исследователи Risk Based Security пишут, что продукт создавался с упором на производительность, а о безопасности разработчики почти не думали. В частности, конфигурация по умолчанию не предполагает вообще никакой аутентификации и механизмов защиты. Разумеется, в документации сказано, что использовать Redis нужно только внутри доверенного окружения, но с этим случаются проколы,
Исследователи заинтересовались данной проблемой, после того как провели аудит сервера, на котором обнаружили сторонний SSH-ключ и email-адрес ryan@exploit.im. Похожие изменения встречались специалистам во время расследования других инцидентов. Воспользовавшись простым сканированием через Shodan, специалисты убедились, что все действительно плохо. Redis не только опасно использовать в дефолтной конфигурации, в 2015 году также появился эксплоит, который позволяет посторонним создать и поместить SSH-ключ в файл authorized_keys, то есть на любой сервер Redis, где не настроена аутентификация.
По данным Risk Based Security, в настоящий момент скомпрометированы 6338 серверов Redis, то есть более 30 000 баз данных доступны любому желающему, безо всякой аутентификации.
Наиболее популярны среди нестандартных ключей crackit, crackit_key, qwe, ck и crack. Суммарно исследователи выявили 14 уникальных email-адресов и 40 уникальных комбинацией SSH-ключей. По словам исследователей, все это похоже на работу сразу нескольких хакерских групп. Скомпрометированные серверы Redis работают под управлением 106 разных версий, от совсем старых (1.2.0) до новейших (3.2.1).
«Наш анализ подтверждает две вещи. Во-первых, это не новая проблема. Во-вторых, некоторые серверы заражены и “открыты”, но не используются для реализации каких-либо вредоносных целей», — пишут исследователи.
В заключении эксперты рекомендуют не забывать об обновлениях, использовать наиболее свежие версии Redis, а также активировать «защищенный режим», который был представлен в версии 3.2.
Европол огласил новые результаты трансграничной операции Endgame. Выявлены и задержаны пятеро предполагаемых пользователей ботнета на основе Smokeloader; деактивация серверов трояна прошла успешно.
На одном из серверов Smokeloader была обнаружена клиентская база (ботнет предоставляется в пользование как услуга, с оплатой за каждую установку с помощью трояна). В пяти случаях исследователям удалось по записи идентифицировать обладателя юзернейма.
Некоторые задержанные проявили готовность сотрудничать со следствием и добровольно сдали улики, облегчив и ускорив изучение изъятых компьютеров.
За ходом Operation Endgame теперь можно следить на специально созданном сайте. Там же можно передать властям релевантную информацию.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
