75٪ من "اليسار إلى الحصول على القرصنة" تم اكتشاف إصابة خوادم Redis
لقد نمت الآن حملة ضخمة من البرمجيات الخبيثة تهدف إلى استهداف خوادم Redis المفتوحة ، التي حذر منها الباحثون منذ ما يقرب من شهرين ، وقد اختطفت بالفعل ما لا يقل عن 75٪ من إجمالي الخوادم التي تقوم بتشغيل حالات Redis المتاحة للجمهور.
Redis ، أو REmote DIctionary Server ، هو مصدر مفتوح ، أداة بنية البيانات الشائعة على نطاق واسع والتي يمكن استخدامها كقاعدة بيانات موزعة في الذاكرة أو وسيط رسائل أو ذاكرة تخزين مؤقت. نظرًا لأنه مصمم ليتم الوصول إليه داخل بيئات موثوق بها ، فلا يجب أن يتم عرضها على الإنترنت.
يطلق عليها اسم RedisWannaMine، تم اكتشاف برنامج ضار مماثل من نفس الثغرة في أواخر شهر مارس بواسطة بائع أمن مركز البيانات Imperva ومصمم لإسقاط نص تعدين cryptocurrency على الخوادم المستهدفة - قاعدة البيانات والتطبيق.
ووفقًا لمقالة مدونة إمبيرفا في مارس ، فإن هذا التهديد الكريبستيوكينج كان "أكثر تعقيدًا من حيث تقنيات التهرب وقدراته. إنه يدل على سلوك شبيه بالديدان بالإضافة إلى مآثر متقدمة لزيادة معدل العدوى للمهاجمين وتسمين محافظهم".
كشف تقرير منشور حديثًا من شركة الأمان نفسها أن ثلاثة أرباع خوادم Redis المفتوحة التي يمكن الوصول إليها من الإنترنت (عبر منفذ 6379) تحتوي على مجموعات ضارة من زوج القيمة الرئيسية في الذاكرة ، مشيرة إلى أنه على الرغم من التحذيرات المتعددة ، يستمر المسؤولون ترك خوادمهم عرضة للقراصنة.
من إجمالي الخوادم التي تم اختراقها ، تم العثور على 68 في المئة من الأنظمة المصابة باستخدام مفاتيح مشابهة ، تسمى "backup1 ، backup2 ، backup3 ،" والتي تم مهاجمتها من بوتنت متوسطة الحجم في الصين (86٪ من IPs) ، وفقا لبيانات Imperva التي تم جمعها من خوادم Redis المتوفرة بشكل عام المتوفرة ذاتيًا لتكون بمثابة مصيدة.
علاوة على ذلك ، وجد المهاجمون الآن استخدام الخوادم المخترقة كوكيل لمسح نقاط الضعف والبحث عنها ، بما في ذلك حقن SQL ، البرمجة النصية عبر المواقع ، عمليات تحميل الملفات الضارة ، وعمليات تنفيذ التعليمات البرمجية عن بعد ، في مواقع ويب أخرى.
يعمل الهجوم الجديد عن طريق تعيين زوج قيمة خبيثة في الذاكرة وحفظه كملف في المجلد / etc / crontabs الذي يفرض على الخادم تنفيذ الملف.
"يقوم المهاجمون عادة بتعيين القيم التي تتضمن أوامر لتنزيل مصدر بعيد خارجي وتشغيله. وهناك نوع آخر شائع من الأوامر يضيف مفاتيح SSH ، لذلك يمكن للمهاجم الوصول إلى الجهاز عن بعد واستلامه" ، قال ناداف أفيتال ، قائد فريق البحث الأمني في Imperva ، يشرح في بلوق وظيفة.لحماية خوادم Redis من الوقوع ضحية لمثل هذه الهجمات ، ينصح المشرفون بعدم الكشف عن خوادمهم على الإنترنت ، ولكن إذا لزم الأمر ، تطبيق آلية المصادقة لمنع الوصول غير المصرح به.
كذلك ، بما أن Redis لا يستخدم التشفير ويقوم بتخزين البيانات بنص عادي ، يجب عدم تخزين أي بيانات حساسة على هذه الخوادم.
وقال افيتال "عادة ما تنشأ قضايا أمنية عندما لا يقرأ الناس الوثائق ويهاجرون الخدمات إلى السحابة ، دون أن يدركوا العواقب أو التدابير المناسبة المطلوبة للقيام بذلك".
Commentaires
Enregistrer un commentaire