75% серверов Redis найдены зараженными

Несмотря на постоянное появление новых кибератак из-за неправильно настроенных серверов и приложений, люди продолжают игнорировать предупреждения о безопасности.
Массивная кампания вредоносного ПО, предназначенная для целевых открытых серверов Redis, о которой исследователи предупреждали почти два месяца назад, теперь выросла и уже захватила не менее 75% от общего количества серверов, на которых открыты общедоступные экземпляры Redis.
Redis или REmote DIctionary Server - это инструмент структуры данных, с открытым исходным кодом, который используется как распределенная база данных в памяти, сообщении или кэше. Поскольку этот инструмент предназначен для доступа в надежных средах, его нельзя открывать в Интернете.
RedisWannaMine - аналогичное вредоносное ПО, использующее такую же лазейку, было обнаружено в конце марта поставщиком систем безопасности для центров обработки данных Imperva и предназначено для отказа от скрипта криптовалюты на целевых серверах.
Согласно мартовской записи в блоге Imperva , угроза cryptojacking является «более сложной с точки зрения методов и возможностей уклонения. Она демонстрирует поведение, подобное червям, в сочетании с продвинутыми эксплоитами, чтобы повысить уровень заражения и приносить деньги злоумышленникам».
Из недавно опубликованного отчета одной фирмы по безопасности, было выявлено, что три четверти открытых серверов Redis, доступных из Интернета (через порт 6379), содержат вредоносное ПО в памяти, несмотря на предупреждения, администраторы оставили свои серверы уязвимыми для хакеров.
Из общего количества скомпрометированных серверов 68% систем были заражены с использованием аналогичных ключей под названием «backup1, backup2, backup3», которые были атакованы из ботнета среднего размера, расположенного в Китае (86% IP-адресов).
Злоумышленники обнаружили, что скомпрометированные серверы являются прокси-серверами для сканирования и поиска уязвимостей, включая SQL-инъекцию, межсайтовый скриптинг, загрузку вредоносных файлов и удаленное выполнение кода на других веб-сайтах.
Новая атака работает путем установки пары вредоносных ключей и значений в память и сохраняет ее в виде файла в папке /etc/crontabs, которая заставляет сервер выполнять файл.
«Атакующие обычно устанавливают значения, которые включают команды для загрузки внешнего удаленного ресурса и запускают его. Другим популярным типом команды является добавление ключей SSH, поэтому злоумышленник может удаленно получить доступ к машине», - сказал Nadav Avital, руководитель группы по исследованию безопасности в Imperva.
Поскольку Redis не использует шифрование и сохраняет данные в виде обычного текста, не рекомендуется хранить конфиденциальные данные на этих серверах.
«Проблемы безопасности обычно возникают, когда люди не читают документацию и не переносят службы в облако, не зная о последствиях или о необходимых для этого мерах», - сказал Avital.