forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлено около 6000 скомпрометированных установок СУБД Redis"
Отправлено opennews, 10-Июл-16 10:54

Как уже сообщалось (https://www.opennet.ru/opennews/art.shtml?num=43540) ранее, из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based Security проанализировали публично доступные (https://www.shodan.io/search?query=product%3Aredis) 30239 экземпляров СУБД Redis (https://www.opennet.ru/opennews/art.shtml?num=44383) и пришли к выводу (https://www.riskbasedsecurity.com/2016/07/redis-over-6000-in.../), что на 6338 серверах наблюдаются следы вредоносной активности.

В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 211 c root@dedi10243.hostsailor.com и т.п. SSH-ключ злоумышленников сохранён на сервере в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH и получить полный доступ к системе.

Появление данной активности соотносится с выявлением в прошлом году уязвимости (https://redislabs.com/blog/cve-2015-4335-dsa-3279-redis-lua-...) (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не спешат применять обновление и в сети можно встретить 106 различных уязвимых версий Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной версии и применении надлежащих (http://redis.io/topics/quickstart#securing-redis) методов разграничения доступа. В простейшем случае факт компрометации можно выявить по наличию в БД ключа "crackit".
URL: https://www.riskbasedsecurity.com/2016/07/redis-over-6000-in.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44766

Исходное сообщение
"Выявлено около 6000 скомпрометированных установок СУБД Redis" Отправлено opennews, 10-Июл-16 10:54
Как уже сообщалось (https://www.opennet.ru/opennews/art.shtml?num=43540) ранее, из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based Security проанализировали публично доступные (https://www.shodan.io/search?query=product%3Aredis) 30239 экземпляров СУБД Redis (https://www.opennet.ru/opennews/art.shtml?num=44383) и пришли к выводу (https://www.riskbasedsecurity.com/2016/07/redis-over-6000-in.../), что на 6338 серверах наблюдаются следы вредоносной активности. В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 211 c root@dedi10243.hostsailor.com и т.п. SSH-ключ злоумышленников сохранён на сервере в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH и получить полный доступ к системе. Появление данной активности соотносится с выявлением в прошлом году уязвимости (https://redislabs.com/blog/cve-2015-4335-dsa-3279-redis-lua-...) (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не спешат применять обновление и в сети можно встретить 106 различных уязвимых версий Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной версии и применении надлежащих (http://redis.io/topics/quickstart#securing-redis) методов разграничения доступа. В простейшем случае факт компрометации можно выявить по наличию в БД ключа "crackit". URL: https://www.riskbasedsecurity.com/2016/07/redis-over-6000-in.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=44766

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Как уже сообщалось (https://www.opennet.ru/opennews/art.shtml?num=43540) ранее, из-за 
> ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, 
> CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем 
> желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней 
> сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу 
> без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based 
> Security  проанализировали публично доступные (https://www.shodan.io/search?query=product%3Aredis) 
> 30239 экземпляров СУБД Redis (https://www.opennet.ru/opennews/art.shtml?num=44383) 
> и пришли к выводу (https://www.riskbasedsecurity.com/2016/07/redis-over-6000-installations-compromised/), 
> что на 6338 серверах  наблюдаются следы вредоносной активности.

> В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", 
> "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён 
> SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 
> комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 
> 211 c root@dedi10243.hostsailor.com и т.п. SSH-ключ злоумышленников сохранён на сервере 
> в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH 
> и получить полный доступ к системе.

> Появление данной активности соотносится с выявлением в прошлом году уязвимости (https://redislabs.com/blog/cve-2015-4335-dsa-3279-redis-lua-sandbox-escape) 
> (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы 
> с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках 
> Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не 
> спешат применять обновление и в сети можно встретить 106 различных уязвимых 
> версий  Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной 
> версии и применении надлежащих (http://redis.io/topics/quickstart#securing-redis) 
> методов разграничения доступа. В простейшем случае факт компрометации можно выявить по 
> наличию в БД ключа "crackit".

> URL: https://www.riskbasedsecurity.com/2016/07/redis-over-6000-installations-compromised/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=44766

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру