暴露在公网上超四万未授权 Redis 服务器存在安全隐患！

公网未授权redis存在隐患

    据有关分析有攻击者瞄准了互联网上暴露的数万个未经身份验证的Redis服务器，试图被攻击者入侵安装加密货币矿工。目前尚不清楚是否都已成功入侵。这种利用技术背后的一般想法是配置Redis将其基于文件的数据库写入包含某些授权用户的方法的目录添加密钥，或启动一个进程。

恶意shell行为

攻击面平台发现攻击者试图将恶意crontab条目存储到文件“/var/spool/cron/root”中，从而导致执行托管在远程服务器上的shell脚本。

shell可执行以下操作

• 终止与安全相关和系统监视的进程
• 清除日志文件和命令历史记录
• 将新的 SSH 密钥（“backup1”）添加到根用户的authorized_keys文件以启用远程访问
• 禁用表防火墙
• 安装扫描工具，如大规模扫描，以及安装并运行加密货币挖掘应用程序 XMRig

部分失败的原因

攻击可能失败的主要原因是因为 Redis 服务需要使用提升的权限（即 root）运行，以便使攻击者能够写入上述 cron 目录。在容器（如docker）中运行Redis时可能会发生这种情况，其中进程可能会看到自己以root身份运行并允许攻击者编写这些文件，但在这种情况下，只有容器受到影响，而不是物理主机。

在超过四万个未经身份验证的Redis服务器中，潜在的数据暴露超过300 GB。

修复建议

为了缓解威胁，建议用户启用客户端身份验证，将 Redis 配置为仅在面向内部的网络接口上运行，通过将 CONFIG 命令重命名防止滥用 CONFIG 命令，并将防火墙配置为仅接受来自受信任主机的 Redis 连接。

关注及时推送最新安全威胁资讯！

「由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责，EXP 与 POC 仅仅只供对已授权的目标使用测试，对未授权目标的测试本文库不承担责任，均由本人自行承担。本文库中的漏洞均为公开的漏洞收集，若文库中的漏洞出现敏感内容产生了部分影响，请及时联系作者删除漏洞，望师傅们谅解。」