Một tin tặc ẩn danh mới đây đã tiến hành một cuộc tấn công nhắm mục tiêu vào hàng chục nghìn máy chủ Redis nhằm cố gắng cài đặt một công cụ khai thác tiền điện tử.
Hiện tại các nhà nghiên cứu bảo mật vẫn chưa xác định được liệu rằng các máy chủ này có bị xâm nhập thành công hay không. Tuy nhiên, cuộc tấn công này được thực hiện bởi một kỹ thuật “ít được biết đến” và được thiết kế vào để đánh lừa các máy chủ có chức năng ghi dữ liệu vào các tệp ngẫu nhiên. Kỹ thuật này được phát hiện lần đầu tiên vào tháng 09/2018.
“Ý tưởng chung đằng sau kỹ thuật khai thác này là định cấu hình Redis để ghi cơ sở dữ liệu dựa trên tệp của nó vào một thư mục chứa một số phương thức để cấp quyền cho người dùng (như thêm khóa vào ‘.ssh / allow_keys’) hoặc bắt đầu một quy trình (như thêm một tập lệnh cho ‘/etc/cron.d’), “Censys nói trong một bài viết mới.
Cụ thể, các nhà nghiên cứu cho biết họ đã phát hiện ra bằng chứng (tức là các lệnh Redis) chỉ ra nỗ lực của kẻ tấn công để lưu trữ các mục crontab độc hại vào tệp “/var/spool/cron/root”, dẫn đến việc thực thi một tập lệnh shell được lưu trữ trên một máy chủ từ xa.
Tập lệnh shell, vẫn có thể truy cập được, được thiết kế để thực hiện các hành động sau:
- Chấm dứt các quy trình liên quan đến bảo mật và giám sát hệ thống
- Xóa các tệp nhật ký và lịch sử lệnh
- Thêm khóa SSH mới (“backup1”) vào tệp ủy quyền của người dùng root để cho phép truy cập từ xa
- Tắt tường lửa iptables
- Cài đặt các công cụ quét như masscan
- Cài đặt và chạy ứng dụng khai thác tiền điện tử XMRig
Khóa SSH được cho là đã được đặt trên 15.526 trong số 31.239 máy chủ Redis chưa được xác thực, cho thấy rằng cuộc tấn công đã được thực hiện trên “hơn 49% máy chủ Redis chưa được xác thực trên internet.”
Tuy nhiên, một lý do chính khiến cuộc tấn công này có thể thất bại là do dịch vụ Redis cần phải chạy với đặc quyền cao (tức là root) để cho phép tin tặc ghi vào thư mục cron nói trên.
Các nhà nghiên cứu của Censys cho biết: “Mặc dù, trường hợp này có thể xảy ra khi chạy Redis bên trong một container (như docker), nơi quá trình có thể tự xem nó chạy dưới dạng root và cho phép kẻ tấn công ghi các tệp này”. “Nhưng trong trường hợp này, chỉ có container bị ảnh hưởng, không phải máy chủ vật lý.”
Báo cáo của Censys cũng tiết lộ rằng có khoảng 350.675 dịch vụ cơ sở dữ liệu Redis có thể truy cập internet trải dài trên 260.534 máy chủ.
10 quốc gia hàng đầu có dịch vụ Redis bị lộ và chưa được xác thực bao gồm Trung Quốc (20.011), Hoa Kỳ (5.108), Đức (1.724), Singapore (1.236), Ấn Độ (876), Pháp (807), Nhật Bản (711), Hồng Kông ( 512), Hà Lan (433) và Ireland (390)
Trung Quốc cũng dẫn đầu khi nói đến số lượng dữ liệu được hiển thị trên mỗi quốc gia, chiếm 146 gigabyte dữ liệu, trong khi Mỹ đứng thứ hai với khoảng 40 gigabyte.
Censys cho biết họ cũng tìm thấy nhiều trường hợp dịch vụ Redis bị định cấu hình sai, lưu ý rằng “Israel là một trong những khu vực duy nhất có số lượng máy chủ Redis bị định cấu hình sai nhiều hơn số máy chủ được định cấu hình đúng.”
Để giảm thiểu các mối đe dọa, người dùng nên bật xác thực máy client, định cấu hình Redis chỉ chạy trên các giao diện mạng nội bộ, ngăn chặn việc lạm dụng lệnh CONFIG bằng cách đổi tên nó thành một thứ gì đó không thể đoán được và định cấu hình tường lửa để chỉ chấp nhận các kết nối Redis từ các máy chủ đáng tin cậy.
