Η συνολική αμέλεια για κάποια χαρακτηριστικά ασφαλείας στη δημιουργία των Redis Database Servers γύρισε να στοιχειώσει το πρότζεκτ χρόνια μετά, μιας και το Risk Based Security (RBS) αναφέρει ότι ανακάλυψε 6.338 Redis διακομιστές που έχουν τεθεί σε κίνδυνο.
O Redis είναι ένας NoSQL διακομιστής βάσης δεδομένων που είναι ιδανικός για την αποθήκευση δεδομένων σε μορφή κλειδιού-τιμής (key-value), που χρησιμοποιεί ένα σύστημα στη μνήμη για την επεξεργασία δεδομένων και μεταγενέστερων queries. Σύμφωνα με στατιστικά στοιχεία από την DB-Engines, ο Redis κατετάγη δέκατος όσον αφορά τη χρήση και τη δημοτικότητα το 2015.
Επειδή ο Redis δημιουργήθηκε με την απόδοση κατά νου, σε μια προεπιλεγμένη ρύθμιση, η βάση δεδομένων δεν διαθέτει κανενός είδους έλεγχο ταυτότητας ή κάποιο άλλο δυνατό χαρακτηριστικό ασφαλείας.
Αυτό σημαίνει ότι ο καθένας μπορεί να έχει πρόσβαση στο περιεχόμενό της μόνο γνωρίζοντας την IP και τη θύρα. Το χειρότερο όλων είναι ότι, προς το τέλος του 2015, ένα exploit φάνηκε ότι επιτρέπεται σε κάποιον τρίτο να αποθηκεύει ένα κλειδί SSH στο authorized_keys αρχείο από οποιονδήποτε άλλο Redis server που δεν είχε τοποθετημένο ένα σύστημα αυθεντικοποίησης.
Υπάρχουν πάνω από 30.000 Redis database servers χωρίς κάποιον έλεγχο ταυτότητας να διατίθενται online. Σύμφωνα με τους RBS ερευνητές, 6.338 από αυτούς τους διακομιστές βρίσκονταν σε κίνδυνο.
Η εταιρεία κατέληξε σε αυτό το συμπέρασμα μετά από την εκτέλεση μιας μη παρεμβατικής σάρωσης χρησιμοποιώντας το Shodan. Το ενδιαφέρον των RBS ερευνητών κορυφώθηκε όταν ανέλυσαν έναν χακαρισμένο server που χαρακτήριζε το “crackit” SSH κλειδί, το οποίο ήταν συνδεδεμένο με μια διεύθυνση ηλεκτρονικού ταχυδρομείου [ryan@exploit.im] την οποία είχαν κατά το παρελθόν αντιμετωπίσει και σε άλλα περιστατικά.
Σαρώνοντας με το Shodan για ανοικτούς Redis διακομιστές που δεν χαρακτηριζόταν από μη τυποποιημένα SSH κλειδιά, οι ερευνητές βρήκαν 5.892 περιπτώσεις SSH κλειδιών συνδεδεμένα με την ryan@exploit.im διεύθυνση ηλεκτρονικού ταχυδρομείου. Επιπλέον, βρήκαν 385 κλειδιά συνδεδεμένα με το root@chickenmelone.chicken.com και 211 κλειδιά με το root@dedi10243.hostsailor.com.
Τα πιο συχνά μη τυποποιημένα κλειδιά ήταν τα “crackit”, “crackit_key”, “qwe”, “ck” και “crack”. Συνολικά, η RBS βρήκε 14 μοναδικά μηνύματα ηλεκτρονικού ταχυδρομείου και 40 μοναδικούς συνδυασμούς SSH κλειδιών. Όπως εξήγησε η RBS, αυτές οι εκθέσεις φαίνεται να είναι έργο πολλών ομάδων ή ατόμων.
Όσο για τις εκτεθειμένες Redis database εκδόσεις, οι ερευνητές βρήκαν106 διαφορετικές εκδοχές, που κυμαίνονταν από την νεότερη 1.2.0 έκδοση μέχρι την πιο πρόσφατη έκδοση, 3.2.1.
“Ενώ δεν ήμασταν σε θέση να βρούμε κάποιον να το επιβεβαιώσει δημόσια, φαίνεται από την ανάλυσή μας ότι έχουμε επιβεβαιώσει δύο πράγματα: το πρώτο είναι ότι αυτό δεν είναι ένα κάτι νέο και το δεύτερο, ότι ορισμένοι διακομιστές βρίσκονται εκεί έξω μολυσμένοι και δεν χρησιμοποιούνται για τίποτα κακόβουλο”, εξήγησαν οι RBS ερευνητές.
Η εταιρεία ασφαλείας συνιστά στους webmasters να ενημερώσουν τις Redis databases τους με την πιο πρόσφατη έκδοση και να ενεργοποιήσουν την “προστατευμένη λειτουργία“, ένα χαρακτηριστικό ασφαλείας που εισήχθει στο Redis με την 3.2 έκδοση.
Αυτοί οι 6.338 servers εξακολουθούν να είναι εκτεθειμένοι μέχρι και σήμερα, πράγμα που σημαίνει ότι οι νέοι παράγοντες απειλών μπορεί εύκολα να τους ξανά θέσουν σε κίνδυνο.
