Không thể biết ngay được liệu tất cả các máy chủ này có bị xâm nhập thành công hay không. Tuy nhiên, nó được thực hiện nhờ một "kỹ thuật ít được biết đến hơn" được thiết kế để đánh lừa các máy chủ ghi dữ liệu vào các tệp tùy ý - một trường hợp truy cập trái phép không cần xác thực lần đầu tiên được ghi nhận vào tháng 9 năm 2018.
Theo Censys: “Ý tưởng chung đằng sau kỹ thuật khai thác này là cấu hình Redis để ghi cơ sở dữ liệu dựa trên tệp của nó vào một thư mục chứa một số phương thức để cấp quyền cho người dùng (như thêm khóa vào '.ssh / allow_keys') hoặc bắt đầu một tiến trình (như thêm một tập lệnh cho '/etc/cron.d')".
Nền tảng quản lý nguy cơ các cuộc tấn công cho biết họ đã phát hiện ra bằng chứng (tức là các lệnh Redis) chỉ ra nỗ lực của một phần kẻ tấn công để lưu trữ các mục crontab độc hại vào tệp "/var/spool/cron/root", dẫn đến việc thực thi một tập lệnh shell được lưu trữ trên một máy chủ từ xa.
Tập lệnh shell, vẫn có thể truy cập được, được thiết kế để thực hiện các hành động sau:
- Hủy các tiến trình liên quan đến bảo mật và giám sát hệ thống.
- Xóa các tệp nhật ký và lịch sử lệnh.
- Thêm khóa SSH mới ("backup1") vào tệp authorized_keys file của người dùng root để cho phép truy cập từ xa.
- Tắt tường lửa iptables.
- Cài đặt các công cụ quét như masscan.
- Cài đặt và chạy ứng dụng khai thác tiền điện tử XMRig.
Khóa SSH được cho là đã được đặt trên 15.526 trong số 31.239 máy chủ Redis không cần xác thực, cho thấy rằng cuộc tấn công đã được thực hiện trên "hơn 49% máy chủ Redis không cần xác thực trên internet.”
Tuy nhiên, một lý do chính khiến cuộc tấn công này có thể thất bại là do dịch vụ Redis cần phải chạy với quyền cao (tức là root) để cho phép kẻ thù ghi vào thư mục cron nói trên. Các nhà nghiên cứu của Censys cho biết: “Mặc dù, trường hợp này có thể xảy ra khi chạy Redis bên trong một container (như docker), nơi tiến trình có thể chạy dưới quyền root và cho phép kẻ tấn công ghi các tệp này. Nhưng trong trường hợp này, chỉ có container bị ảnh hưởng, không phải vật chủ vật lý.”
Báo cáo của Censys cũng tiết lộ rằng có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập internet trên 260.534 máy chủ duy nhất. Công ty cho biết: “Trong khi hầu hết các dịch vụ này đều yêu cầu xác thực, 11% (39.405) thì không”, đồng thời cho biết thêm “trong tổng số 39.405 máy chủ Redis không bật xác thực mà chúng tôi đã quan sát, mức độ phơi nhiễm dữ liệu tiềm năng là hơn 300 gigabyte.”
10 quốc gia hàng đầu có dịch vụ Redis bị lộ và không cần xác thực bao gồm Trung Quốc (20.011), Hoa Kỳ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông ( 512), Hà Lan (433) và Ireland (390). Trung Quốc cũng dẫn đầu khi nói đến số lượng dữ liệu được hiển thị trên mỗi quốc gia, chiếm 146 gigabyte dữ liệu, trong khi Mỹ đứng thứ hai với khoảng 40 gigabyte. Censys cho biết họ cũng tìm thấy nhiều trường hợp dịch vụ Redis bị định cấu hình sai, lưu ý rằng "Israel là một trong những khu vực duy nhất có số lượng máy chủ Redis bị định cấu hình sai nhiều hơn số máy chủ được định cấu hình đúng.”
Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực máy khách, định cấu hình Redis chỉ chạy trên các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một thứ gì đó không thể đoán được và định cấu hình tường lửa để chỉ chấp nhận các kết nối Redis từ các máy chủ đáng tin cậy.
Tuy nhiên, một lý do chính khiến cuộc tấn công này có thể thất bại là do dịch vụ Redis cần phải chạy với quyền cao (tức là root) để cho phép kẻ thù ghi vào thư mục cron nói trên. Các nhà nghiên cứu của Censys cho biết: “Mặc dù, trường hợp này có thể xảy ra khi chạy Redis bên trong một container (như docker), nơi tiến trình có thể chạy dưới quyền root và cho phép kẻ tấn công ghi các tệp này. Nhưng trong trường hợp này, chỉ có container bị ảnh hưởng, không phải vật chủ vật lý.”
Báo cáo của Censys cũng tiết lộ rằng có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập internet trên 260.534 máy chủ duy nhất. Công ty cho biết: “Trong khi hầu hết các dịch vụ này đều yêu cầu xác thực, 11% (39.405) thì không”, đồng thời cho biết thêm “trong tổng số 39.405 máy chủ Redis không bật xác thực mà chúng tôi đã quan sát, mức độ phơi nhiễm dữ liệu tiềm năng là hơn 300 gigabyte.”
10 quốc gia hàng đầu có dịch vụ Redis bị lộ và không cần xác thực bao gồm Trung Quốc (20.011), Hoa Kỳ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông ( 512), Hà Lan (433) và Ireland (390). Trung Quốc cũng dẫn đầu khi nói đến số lượng dữ liệu được hiển thị trên mỗi quốc gia, chiếm 146 gigabyte dữ liệu, trong khi Mỹ đứng thứ hai với khoảng 40 gigabyte. Censys cho biết họ cũng tìm thấy nhiều trường hợp dịch vụ Redis bị định cấu hình sai, lưu ý rằng "Israel là một trong những khu vực duy nhất có số lượng máy chủ Redis bị định cấu hình sai nhiều hơn số máy chủ được định cấu hình đúng.”
Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực máy khách, định cấu hình Redis chỉ chạy trên các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một thứ gì đó không thể đoán được và định cấu hình tường lửa để chỉ chấp nhận các kết nối Redis từ các máy chủ đáng tin cậy.
Nguồn: Thehackernews
Đăng nhận xét