Аналитики информационной безопасности из Censys сообщили о несанкционированной установке открытого ключа SSH на 15 526 из 31 239 неаутентифицированных серверов Redis.

Целью неизвестных было создание ботнета для майнинга криптоактивов.

525.png

Redis занимает четвертую позицию среди наиболее часто используемых движках базы данных, после MySQL, PostigreSQL и Microsoft SQL. В отличие от традиционных реляционных баз данных, Redis не разрабатывался с учетом требований безопасности и предназначен для доступа доверенных клиентов в доверенных средах. Изначально предполагалось, что движок всегда должен использоваться только для внутренних и частных коммуникаций без прямого подключения к Интернету и за брандмауэром.

Однако, как показала практика, некоторые базы данных Redis оказались неправильно настроены, были привязаны к общедоступному интерфейсу, а часть не имела защиты аутентификационным паролем.

Таким образом, при определенных условиях, если Redis работает с учетной записью пользователя, злоумышленники могут записать файл открытого ключа SSH в учетную запись root, напрямую войдя на сервер жертвы через SSH. Это может позволить хакерам получить привилегии на сервере, например, чтобы удалить или украсть данные.

Чтобы уменьшить угрозу, пользователям рекомендуется включить аутентификацию клиента, настроить Redis для запуска только на внутренних сетевых интерфейсах, предотвратить злоупотребление командой CONFIG, переименовав ее, а также настроить брандмауэры для приема соединений Redis только с доверенных хостов.

В июне об аналогичной проблеме сообщили
специалисты по компьютерной безопасности из компании Akamai. Они обнаружили ботнет с признаками SSH-червя, атакующий SSH-сервера для и распространения вредоносного ПО для майнинга. По информации Akamai, после получения доступа вирус размещает майнеры криптовалют, причем старается максимально скрыть свою деятельность, например, используя мониторинг процессов и в случае опасности отключая модуль майнинга.