Más de 39 000 servicios de Redis no autenticados en Internet dirigidos a una campaña de criptomonedasAsuntos de seguridad

0
2
Más de 39 000 servicios de Redis no autenticados en Internet dirigidos a una campaña de criptomonedasAsuntos de seguridad

Los actores de amenazas se dirigieron a decenas de miles de servidores Redis no autenticados expuestos en Internet como parte de una campaña de criptomonedas.

Redis es una popular herramienta de estructura de datos de código abierto que se puede utilizar como base de datos distribuida en memoria, intermediario de mensajes o caché. La herramienta no está diseñada para estar expuesta en Internet, sin embargo, los investigadores detectaron decenas de miles de instancias de Redis accesibles públicamente sin autenticación.

El investigador Victor Zhu detalló una vulnerabilidad de acceso no autorizado de Redis que podría explotarse para comprometer las instancias de Redis expuestas en línea.

“Bajo ciertas condiciones, si Redis se ejecuta con la cuenta raíz (o ni siquiera), los atacantes pueden escribir un archivo de clave pública SSH en la cuenta raíz, iniciando sesión directamente en el servidor de la víctima a través de SSH. Esto puede permitir que los piratas informáticos obtengan privilegios de servidor, eliminen o roben datos, o incluso lleven a una extorsión de encriptación, poniendo en peligro crítico los servicios comerciales normales”. Lee la publicación publicada por Zhu el 11 de septiembre de 2022.

Ahora, los investigadores de Censys advierten sobre decenas de miles de servidores Redis no autenticados expuestos en Internet que están siendo atacados.

Los actores de amenazas apuntan a estas instancias para instalar un minero de criptomonedas.

“Hay 39 405 servicios de Redis no autenticados de un total de 350 675 servicios de Redis en la Internet pública”. advierte Censys. “Casi el 50% de los servicios de Redis no autenticados en Internet muestran signos de una intentó comprometido.”

“La idea general detrás de esta explotación técnica es configurar Redis para escribir su base de datos basada en archivos en un directorio que contenga algún método para autorizar a un usuario (como agregar una clave a ‘.ssh/authorized_keys’), o iniciar un proceso (como agregar un script para ‘/etc/cron.d’)”, agrega Censys.

Los expertos encontraron evidencia que demuestra la campaña de piratería en curso, los actores de amenazas intentaron almacenar entradas crontab maliciosas en el archivo “/var/spool/cron/root” usando varias claves de Redis con el prefijo “copia de seguridad”. Las entradas de crontab permitieron a los atacantes ejecutar un script de shell alojado en un servidor remoto.

El script de shell fue diseñado para realizar las siguientes acciones maliciosas:

  • Detiene y deshabilita cualquier proceso relacionado con la seguridad en ejecución
  • Detiene y deshabilita cualquier proceso de monitoreo del sistema en ejecución
  • Elimina y purga todos los archivos de registro relacionados con la seguridad y el sistema, incluidos los historiales de shell (p. ej., .bash_history).
  • Agrega una nueva clave SSH al archivo authorized_keys del usuario raíz
  • Desactiva el cortafuegos de iptables
  • Instale varias herramientas de piratería y escaneo como “masscan”
  • Instala y ejecuta la aplicación de minería de criptomonedas XMRig

Los investigadores utilizaron una lista reciente de servicios Redis no autenticados que se ejecutan en el puerto TCP 6379 para ejecutar un escaneo único que buscaba la existencia de la clave “backup1” en cada host. Censys descubrió que de los 31 239 servidores Redis no autenticados en esta lista, 15 526 hosts tenían este conjunto de claves. Estos casos fueron atacados por actores de amenazas con la técnica descrita anteriormente.

La mayoría de los servidores Redis expuestos a Internet se encuentran en China (15,29 %), seguidos de Alemania (14,11 %) y Singapur (12,43 %).

“Aún así, esto no significa que haya más de 15 mil hosts comprometidos. Es improbable que se den las condiciones necesarias para que esta vulnerabilidad tenga éxito para cada uno de estos hosts. La razón principal por la que muchos de estos intentos fallarán es que el servicio Redis debe ejecutarse como un usuario con los permisos adecuados para escribir en el directorio “/var/spool/cron” (es decir, root)”. concluye el informe. “Sin embargo, este puede ser el caso cuando se ejecuta Redis dentro de un contenedor (como una ventana acoplable), donde el proceso podría verse ejecutándose como root y permitir que el atacante escriba estos archivos. Pero en este caso, solo se ve afectado el contenedor, no el host físico”.

El informe también incluye una lista de medidas de mitigación para estos ataques.

Sigueme en Twitter: @asuntosdeseguridad y Facebook

Pierluigi Paganini

(SeguridadAsuntos piratería, minería)




LEAVE A REPLY

Please enter your comment!
Please enter your name here