一个未知的攻击者针对暴露在互联网上的数万台未经身份验证的 Redis 服务器，试图安装加密货币矿工。Kinsing 等恶意行为者正在利用 Oracle WebLogic Server 中最近披露的和较早的安全漏洞来传播加密货币挖掘恶意软件。网络安全公司趋势科技表示，它发现有经济动机的组织利用该漏洞删除了具有禁用操作系统 (OS) 安全功能（如安全增强型 Linux ( SELinux ) 等）的功能的 Python 脚本。Kinsing 恶意软件背后的操作员有扫描易受攻击的服务器以将其加入僵尸网络的历史，包括Redis、SaltStack、Log4Shell、Spring4Shell和 Atlassian Confluence 漏洞 ( CVE-2022-26134 )。

目前尚不清楚所有这些主机是否都被成功入侵。尽管如此，它还是通过一种“鲜为人知的技术”实现的，该技术旨在欺骗服务器将数据写入任意文件——这是 2018 年 9 月首次记录的未经授权访问的案例。Redis 未授权访问漏洞模拟，Redis 是一种开源的、广受欢迎的数据结构工具，可用作内存分布式数据库、消息代理或缓存。由于它旨在在受信任的环境中访问，因此不应在 Internet 上公开。但是，有些 Redis 绑定到公共接口，甚至没有密码认证保护。

在某些条件下，如果 Redis 使用 root 帐户运行（甚至不使用），攻击者可以将 SSH 公钥文件写入 root 帐户，直接通过 SSH 登录到受害服务器。这可能使黑客获得服务器权限，删除或窃取数据，甚至导致加密勒索，严重危及正常的业务服务。

这个漏洞利用的简化流程是：

• 登录到未受保护的 Redis

• 将其备份位置更改为 .ssh 目录 — 将 SSH 密钥写入新的备份位置

• 使用 SSH 密钥远程连接并登录到目标服务器

我们应该已经熟悉使用私钥 + 公钥的自动 SSH 登录是如何工作的。

“这种利用技术背后的总体思路是配置 Redis 以将其基于文件的数据库写入一个目录，该目录包含一些授权用户的方法（例如向 '.ssh/authorized_keys' 添加密钥），或启动一个进程（例如添加'/etc/cron.d'的脚本），”Censys在一篇新文章中说。

攻击面管理平台表示，它发现了证据（即 Redis 命令），表明部分攻击者努力将恶意crontab 条目存储到文件“/var/spool/cron/root”中，从而导致执行托管的 shell 脚本在远程服务器上。

仍然可以访问的 shell 脚本被设计为执行以下操作 -

• 终止安全相关和系统监控进程
• 清除日志文件和命令历史
• 将新的 SSH 密钥（“backup1”）添加到 root 用户的authorized_keys 文件以启用远程访问
• 禁用iptables防火墙
• 安装masscan等扫描工具，以及
• 安装并运行加密货币挖掘应用程序 XMRig

据说 SSH 密钥已设置在 31,239 个未经身份验证的 Redis 服务器中的 15,526 个上，这表明该攻击是在“互联网上超过 49% 的已知未经身份验证的 Redis 服务器上”进行的。

然而，这种攻击可能失败的一个主要原因是，Redis 服务需要以提升的权限（即 root）运行，以使攻击者能够写入上述 cron 目录。

“虽然，在容器（如 docker）中运行 Redis 时可能会出现这种情况，该进程可能会认为自己以 root 身份运行并允许攻击者编写这些文件，”Censys 研究人员说。“但在这种情况下，只有容器受到影响，而不是物理主机。”

Censys 的报告还显示，大约有 350,675 个可通过 Internet 访问的 Redis 数据库服务，跨越 260,534 个独立主机。

“虽然这些服务中的大多数都需要身份验证，但 11% (39,405) 不需要，”该公司表示，并补充说“在我们观察到的 39,405 台未经身份验证的 Redis 服务器中，潜在的数据暴露超过 300 GB。”

暴露和未经身份验证的 Redis 服务排名前 10 的国家包括中国（20,011）、美国（5,108）、德国（1,724）、新加坡（1,236）、印度（876）、法国（807）、日本（711）、香港（ 512)、荷兰 (433) 和爱尔兰 (390)。

在每个国家暴露的数据量方面，中国也处于领先地位，占 146 GB 的数据，美国以大约 40 GB 的数据排在第二位。

Censys 表示，它还发现了许多配置错误的 Redis 服务实例，并指出“以色列是唯一一个配置错误的 Redis 服务器数量超过正确配置的地区之一。”

为了缓解威胁，建议用户启用客户端身份验证，将 Redis 配置为仅在面向内部的网络接口上运行，通过将 CONFIG 命令重命名为不可猜测的名称来防止滥用，并将防火墙配置为仅接受来自受信任主机的 Redis 连接。

原文始发于微信公众号（河南等级保护测评）：超过 39,000 个未经身份验证的 Redis 实例暴露在互联网上