image

18.000 Redis-databases toegankelijk via internet

woensdag 31 augustus 2016, 16:41 door Redactie, 1 reacties

Meer dan 18.000 databases die op de Redis-databasesoftware draaien zijn toegankelijk via internet en het doelwit van aanvallers die allerlei gegevens verwijderen en vervolgens claimen dat de bestanden zijn versleuteld. Alleen door het betalen van 2 bitcoin zouden organisaties hun bestanden kunnen terugkrijgen.

Daarvoor waarschuwt beveiligingsbedrijf Duo Security. Redis is een cachingoplossing die als databaseserver kan worden gebruikt of kan helpen om de prestaties van databases te verbeteren. Redis-databases horen eigenlijk alleen in vertrouwde omgevingen te worden gebruikt. De ontwikkelaars adviseren dan ook om Redis-databases niet voor het internet toegankelijk te maken. Aanvallers zouden in dit geval de opgeslagen data kunnen bekijken of manipuleren. In het ergste geval kan een aanvaller de Redis-database zelfs overnemen.

Via het uitvoeren van scans op internet is het mogelijk om toegankelijke Redis-databases te vinden. Onderzoekers ontdekten meer dan 18.000 databases, waarvan een groot deel op verouderde versies van Redis draait. De meest recente versie is versie 3.2.x. Dit versienummer werd bij 1.000 van de 18.000 databases aangetroffen. De overige 17.000 databases draaiden op een verouderde versie.

Aanvallers zijn nu actief op zoek naar Redis-databases. Ze geven de databasesoftware de opdracht om een ssh-sleutel toe te voegen en loggen daarmee vervolgens als de rootgebruiker in. De aanvaller verwijdert hierna allerlei bestanden en laat een bericht achter, waarin naar een url wordt gewezen. Op deze pagina wordt gesteld dat de bestanden zijn versleuteld en er voor het ontsleutelen 2 bitcoin moet worden betaald, wat met de huidige wisselkoers ruim 1.000 euro is. Het gaat echter om een scam, waarbij gebruikers bang worden gemaakt.

Hoeveel Redis-databases het doelwit van de aanvallers zijn geworden is onbekend. Beheerders krijgen het advies om hun database naar de nieuwste versie te updaten en de "protected mode" van de software te gebruiken. De mode voorkomt dat Redis-databases in een onveilige configuratie worden uitgerold.

Reacties (1)
31-08-2016, 17:23 door Anoniem
Dit is al een vrij oud lek uit 2015 https://github.com/antirez/redis/issues/2885 en het artikel via github: http://antirez.com/news/96.
Desalniettemin een leuk bot netwerkje ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.