🔥 Công Ty TNHH Điêu Khắc Quang Cảnh đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty In Ấn Quảng Cáo 2H đã đăng ký tín nhiệm. 🔥                    🔥 Viện kiểm sát nhân dân tỉnh Bạc Liêu đã đăng ký tín nhiệm. 🔥                    🔥 Cục thống kê tỉnh Bạc Liêu đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại Dịch Vụ Clickweb đã đăng ký tín nhiệm. 🔥                   

Hàng chục nghìn máy chủ Redis không yêu cầu xác thực được đặt công khai trên Internet

23/09/2022

Một kẻ tấn công đã nhắm mục tiêu vào hàng chục nghìn máy chủ Redis chưa được xác thực được đặt công khai trên internet để cài đặt phần mềm khai thác tiền điện tử.

Chưa xác định được liệu tất cả các máy chủ này có bị xâm nhập thành công hay không. Tấn công sử dụng một "kỹ thuật ít được biết đến" được thiết kế để lừa các máy chủ ghi dữ liệu vào các tệp tùy ý.

Censys cho biết "ý tưởng đằng sau kỹ thuật khai thác này là thiết lập cấu hình Redis để ghi tệp vào một thư mục có thể cho phép cấp quyền cho người dùng (như thêm một key vào '.ssh/authorized_keys') hoặc khởi chạy một tiến trình (bằng cách thêm một script trong '/etc/cron.d')".

Censys cho biết đã phát hiện bằng chứng (các lệnh Redis) cho thấy nỗ lực của kẻ tấn công trong việc lưu trữ các lệnh crontab độc hại vào tệp "/var/spool/cron/root", dẫn đến việc thực thi một tập lệnh (shell script) được lưu trữ trên một máy chủ từ xa.

Tập lệnh này hiện vẫn có thể truy cập, được thiết kế để:

- Dừng các ứng dụng liên quan đến việc bảo mật và giám sát hệ thống

- Xóa các tệp ghi log và lịch sử command

- Thêm khóa SSH mới ("backup1") vào tệp authorized_keys của người dùng root để cho phép truy cập từ xa

- Tắt tường lửa iptables 

- Cài đặt các công cụ scan như masscan

- Cài đặt và chạy ứng dụng khai thác tiền điện tử XMRig

Khóa SSH được cho là đã được thêm vào 15.526 (hơn 49%) trong số 31.239 máy chủ Redis chưa được xác thực trên internet.

Tuy nhiên, một lý do có thể khiến cuộc tấn công này thất bại là dịch vụ Redis cần phải chạy với quyền root để cho phép kẻ tấn công ghi vào thư mục cron nói trên.

Báo cáo của Censys chỉ ra có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập từ internet trên 260.534 máy chủ khác nhau.

Công ty cho biết “hầu hết các dịch vụ này đều yêu cầu xác thực, trừ 11% trong số đó (39.405) thì không”; “Trong tổng số 39.405 máy chủ Redis chưa được xác thực mà chúng tôi đã phát hiện, dữ liệu lộ lọt có thể lên đến hơn 300 gigabyte.”

10 quốc gia hàng đầu có dịch vụ Redis bị lộ và chưa được xác thực bao gồm Trung Quốc (20.011), Mỹ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông (512), Hà Lan (433) và Ireland (390).

Trung Quốc cũng là quốc gia đứng đầu về số lượng dữ liệu bị lộ (146 gigabyte dữ liệu), Mỹ xếp thứ hai với khoảng 40 gigabyte.

Censys cũng phát hiện nhiều trường hợp dịch vụ Redis bị cấu hình sai, "Israel là khu vực duy nhất có số lượng máy chủ Redis bị cấu hình sai nhiều hơn số máy chủ được cấu hình đúng".

Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực trên các thiết bị, cấu hình Redis chỉ chạy trong các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một tên không thể đoán được và thiết lập cấu hình tường lửa để chỉ cho phép các kết nối Redis từ các máy chủ đáng tin cậy.

Nguồn: thehackernews.com.

scrolltop