Một kẻ tấn công đã nhắm mục tiêu vào hàng chục nghìn máy chủ Redis chưa được xác thực được đặt công khai trên internet để cài đặt phần mềm khai thác tiền điện tử.
Chưa xác định được liệu tất cả các máy chủ này có bị xâm nhập thành công hay không. Tấn công sử dụng một "kỹ thuật ít được biết đến" được thiết kế để lừa các máy chủ ghi dữ liệu vào các tệp tùy ý.
Censys cho biết "ý tưởng đằng sau kỹ thuật khai thác này là thiết lập cấu hình Redis để ghi tệp vào một thư mục có thể cho phép cấp quyền cho người dùng (như thêm một key vào '.ssh/authorized_keys') hoặc khởi chạy một tiến trình (bằng cách thêm một script trong '/etc/cron.d')".
Censys cho biết đã phát hiện bằng chứng (các lệnh Redis) cho thấy nỗ lực của kẻ tấn công trong việc lưu trữ các lệnh crontab độc hại vào tệp "/var/spool/cron/root", dẫn đến việc thực thi một tập lệnh (shell script) được lưu trữ trên một máy chủ từ xa.
Tập lệnh này hiện vẫn có thể truy cập, được thiết kế để:
- Dừng các ứng dụng liên quan đến việc bảo mật và giám sát hệ thống
- Xóa các tệp ghi log và lịch sử command
- Thêm khóa SSH mới ("backup1") vào tệp authorized_keys của người dùng root để cho phép truy cập từ xa
- Tắt tường lửa iptables
- Cài đặt các công cụ scan như masscan
- Cài đặt và chạy ứng dụng khai thác tiền điện tử XMRig
Khóa SSH được cho là đã được thêm vào 15.526 (hơn 49%) trong số 31.239 máy chủ Redis chưa được xác thực trên internet.
Tuy nhiên, một lý do có thể khiến cuộc tấn công này thất bại là dịch vụ Redis cần phải chạy với quyền root để cho phép kẻ tấn công ghi vào thư mục cron nói trên.
Báo cáo của Censys chỉ ra có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập từ internet trên 260.534 máy chủ khác nhau.
Công ty cho biết “hầu hết các dịch vụ này đều yêu cầu xác thực, trừ 11% trong số đó (39.405) thì không”; “Trong tổng số 39.405 máy chủ Redis chưa được xác thực mà chúng tôi đã phát hiện, dữ liệu lộ lọt có thể lên đến hơn 300 gigabyte.”
10 quốc gia hàng đầu có dịch vụ Redis bị lộ và chưa được xác thực bao gồm Trung Quốc (20.011), Mỹ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông (512), Hà Lan (433) và Ireland (390).
Trung Quốc cũng là quốc gia đứng đầu về số lượng dữ liệu bị lộ (146 gigabyte dữ liệu), Mỹ xếp thứ hai với khoảng 40 gigabyte.
Censys cũng phát hiện nhiều trường hợp dịch vụ Redis bị cấu hình sai, "Israel là khu vực duy nhất có số lượng máy chủ Redis bị cấu hình sai nhiều hơn số máy chủ được cấu hình đúng".
Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực trên các thiết bị, cấu hình Redis chỉ chạy trong các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một tên không thể đoán được và thiết lập cấu hình tường lửa để chỉ cho phép các kết nối Redis từ các máy chủ đáng tin cậy.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Nhà phát hành trò chơi điện tử Mỹ Rockstar Games đã tiết lộ rằng họ là nạn nhân của một vụ "xâm nhập mạng" cho phép một bên tải xuống trái phép các cảnh quay mở màn cho game Grand Theft Auto VI.
Tín nhiệm mạng | LastPass đã chia sẻ thêm chi tiết liên quan đến một sự cố bảo mật của công ty xảy ra vào tháng trước, cho biết kẻ đe dọa đã có quyền truy cập vào hệ thống phát triển của công ty trong khoảng thời gian 4 ngày.
Một ngày nọ, tài khoản ngân hàng của bạn bỗng dưng nhận được một khoản tiền từ vài triệu đồng đến cả trăm triệu đồng mà không rõ người gửi. Bạn sẽ làm gì với số tiền đó? nên để kệ hay là rút ra tiêu - đa phần các chủ tài khoản đều có chung những câu hỏi trên. Thủ đoạn kiếm ăn trên lòng trắc ẩn
Tín nhiệm mạng | Uber đang điều tra một sự cố bảo mật liên quan đến việc vi phạm mạng công ty. Tin tặc đã sử dụng social engineering để lấy được mật khẩu của nhân viên và xâm phạm công ty.
Một số lỗ hổng bảo mật firmware trong máy tính xách tay cao cấp dành cho doanh nghiệp của HP vẫn chưa được vá trong một số thiết bị sau vài tháng kể từ khi chúng được tiết lộ công khai.
Tín nhiệm mạng | WordPress Wordfence vừa tiết lộ một lỗ hổng zero-day mới trong WordPress BackupBuddy plugin đã và đang bị khai thác trong thực tế với gần năm triệu lượt tấn công.