75% des serveurs Redis ’Left to Get Hacked’ ont été infectés

Malgré l’émergence continuelle de nouvelles cyber-attaques à cause de serveurs et d’applications mal configurés, les gens continuent d’ignorer les avertissements de sécurité.

Une campagne massive de logiciels malveillants conçue pour cibler les serveurs Redis ouverts, sur laquelle les chercheurs ont mis en garde il y a près de deux mois, a maintenant pris de l’ampleur et a déjà détourné au moins 75% des serveurs Redis.

Redis, ou REmote Dictionary Server, est un outil de structure de données open source très populaire qui peut être utilisé comme base de données distribuée en mémoire, courtier de messages ou cache. Comme il est conçu pour être accessible dans des environnements de confiance, il ne doit pas être exposé sur Internet.

Baptisé RedisWannaMine , un malware similaire exploitant cette même faille a été découvert fin mars par le fournisseur de sécurité du centre de données Imperva et conçu pour abandonner un script d’extraction de crypto-monnaie sur les serveurs ciblés - à la fois la base de données et l’application.

Selon le blog d’ Imperva en mars , cette menace de cryptojacking était « plus complexe en termes de techniques et de capacités d’évasion : elle démontre un comportement semblable à un ver combiné à des exploits avancés pour augmenter le taux d’infection des agresseurs et grossir leurs portefeuilles ».

Un rapport récemment publiéde la même firme de sécurité a maintenant révélé que les trois quarts des serveurs Redis accessibles depuis Internet (sur le port 6379) contiennent des ensembles malveillants d’une paire clé-valeur dans la mémoire, indiquant malgré plusieurs avertissements que les administrateurs continuent à laisser leurs serveurs vulnérables aux pirates.

Sur le total des serveurs compromis, 68% des systèmes ont été trouvés infectés en utilisant des clés similaires, nommées "backup1, backup2, backup3," qui ont été attaquées à partir d’un botnet de taille moyenne situé en Chine (86% des IPs) à partir de leurs serveurs Redis auto-mis en place accessibles au public pour servir de pot de miel.

En outre, les attaquants ont maintenant trouvé que l’utilisation des serveurs compromis était un proxy pour analyser et trouver des vulnérabilités, notamment l’injection SQL, les scripts inter-sites, les téléchargements de fichiers malveillants et les exécutions de code à distance sur d’autres sites Web.

La nouvelle attaque fonctionne en définissant une paire clé-valeur malveillante dans la mémoire et en l’enregistrant en tant que fichier dans le dossier / etc / crontabs qui force le serveur à exécuter le fichier.

« Les attaquants définissent généralement des valeurs qui incluent des commandes pour télécharger des ressources distantes externes et les exécuter.Un autre type de commande populaire est l’ajout de clés SSH, afin que l’attaquant puisse accéder à distance à la machine et la prendre en charge. » Nadav Avital, responsable de la recherche sécurité chez Imperva , explique dans un blog.

Pour protéger les serveurs Redis contre de telles attaques, il est conseillé aux administrateurs de ne jamais exposer leurs serveurs à Internet, mais si nécessaire, d’appliquer un mécanisme d’authentification pour empêcher tout accès non autorisé.
De plus, étant donné que Redis n’utilise pas le cryptage et stocke les données en texte brut, vous ne devez jamais stocker de données sensibles sur ces serveurs.

« Les problèmes de sécurité surviennent généralement lorsque les utilisateurs ne lisent pas la documentation et ne migrent pas les services vers le cloud, sans être conscients des conséquences ou des mesures adéquates nécessaires pour le faire », a déclaré Avital.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image