Три четверти серверов Redis, доступных онлайн, инфицированы вредоносными программами. К такому выводу пришли ИБ-специалисты, исследовавшие около 72 тыс. хостов с этой базой данных, найденных поисковиком Shodan. Масштабные атаки на сетевые хранилища стали следствием пренебрежительного отношения их администраторов к рекомендациям по безопасности.

Исследователи уже фиксировали вредоносные кампании, нацеленные на Redis. Для того чтобы определить масштабы проблемы, они развернули honeypot — общедоступный сервер, служивший приманкой для злоумышленников. В течение следующих 24 часов аналитики зафиксировали несколько атак на тестовое хранилище. База данных подверглась сканированию на наличие уязвимостей, попыткам установки программ-майнеров и криптовалютных червей.

Атаки строились на простом сценарии: злоумышленники размещали пару ключ — значение, которыми оперирует СУБД в памяти сервера, и сохраняли файл с ней в одну из папок, допускающую выполнение внешнего кода. После запуска скрипта на скомпрометированную систему загружалась вредоносная программа для удаленного управления.

Проанализировав методы работы киберпреступников, исследователи решили выявить следы вредоносной активности на других серверах Redis, доступных онлайн. Поисковик Shodan обнаружил в Интернете 72 тыс. активных соединений с портом 6379, который СУБД использует по умолчанию. Большая часть из них ответила ошибкой на попытки сканирования, однако примерно до 10 тыс. систем аналитикам удалось достучаться.

В результате исследования выяснилось, что 68% протестированных серверов содержат следы деятельности вредоносных программ. Кроме того, в 75% доступных онлайн баз данных Redis найдены записи, свидетельствующие о заражении системы. Сравнив полученные свидетельства с образцами, найденными в honeypot, эксперты обнаружили, что большая часть скомпрометированных серверов была атакована относительно небольшим ботнетом из Китая.

Исследователи подчеркивают, что Redis является специализированной базой данных и должен работать в безопасной среде. Программа практически не имеет системы аутентификации и хранит сведения в незашифрованном виде, поэтому разработчики категорически не рекомендуют делать ее доступной из Интернета.

Как сообщают эксперты, в случае с honeypot полезная нагрузка и методы проникновения были похожи на кампанию RedisWannaMine. Массовые атаки на серверы под управлением Redis и Microsoft SMB аналитики зафиксировали в марте этого года. Тогда злоумышленники устанавливали на скомпрометированные системы криптомайнеры и сетевого червя для поиска новых жертв.

Категории: Аналитика, Уязвимости