Базы данных крупнейших стран мира под угрозой утечки

Чт 22 Сентябрь 2022 10:20

Неизвестный злоумышленник атакует десятки тысяч неаутентифицированных серверов Redis с целью установки криптомайнера. Хакер использовал малоизвестную технику, чтобы заставить серверы записывать данные в произвольные файлы.

По словам экспертов из ИБ-компании Censys, процесс эксплуатации заключается в том, чтобы настроить Redis для записи своей файловой базы данных в каталог, содержащий какой-либо метод для авторизации пользователя (например, добавление SSH-ключа) или запуска процесса (например, через «cron»).

Злоумышленник сохранил вредоносные записи crontab в файл «/var/spool/cron/root», что привело к выполнению сценария оболочки, размещенного на удаленном сервере.

Сценарий предназначен для выполнения следующих действий:

Сообщается, что SSH-ключ был установлен на 15 526 из 31 239 неаутентифицированных серверов Redis, то есть почти на 50% всех неаутентифицированных серверов Redis в Интернете. Однако, служба Redis должна работать с root-правами доступа, чтобы злоумышленник мог записывать файлы в каталог cron.

Страны с открытыми серверами Redis

Отчет Censys также показал, что в Интернете существует около 350 675 служб баз данных Redis, охватывающих 260 534 уникальных хоста. На 39 405 открытых серверах Redis отсутствует какая-либо аутентификация, и потенциальная утечка может раскрыть более 300 ГБ данных.

Чтобы уменьшить угрозу, пользователям рекомендуется:

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 12 часов 2 минуты 25 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.