Se ha relizado un estudio a nivel mundial cuyo resultado es que más de 39.000 servidores con Redis instalado están mal configurados.
Censys es la empresa que se ha encargado de realizar el informe “El estado de internet 2022” en el cual revelan que más de 350.000 servidores están configurados con Redis, y de estos más de 39.000 no tienen autenticación.
Al parecer se ha producido un ataque automatizado en el cual el atacante, del que no se sabe nada, ha intentado comprometer este tipo de servidores Redis sin autenticación para instalar malware para minar criptomonedas.
El ataque trata de agregar claves ssh al servidor y/o vinculando un script malicioso al cron del sistema.
Este ataque es posible ya que muchos de los servidores redis están mal configurados.
La primera configuración errónea es al ejecutar este servicio con permisos de root.
La segunda falla es la no configuración de una autenticación.
El script utilizado ejecuta las siguientes tareas:
- Terminar procesos de monitorización de la seguridad del sistema.
- Eliminar historiales de registro.
- Autorizar las claves ssh del atacante.
- Deshabilitar el cortafuegos del sistema.
- Instalar herramientas de escaneo.
- Instalar herramientas de minado de criptomonedas, que en este caso minaría criptomonedas XMRig.
Según los datos finales, China es el país que más servidores mal configurados tiene, 20.011, permitiendo que 146 GB de datos sean expuestos, seguido de EEUU, con 5.108 servidores mal configurados y 40 GB de datos.
Esta tabla muestra los principales datos encontrados:
Para mitigar estos problemas, Redis tiene su manual de configuración de seguridad, el cual es totalmente recomendable seguir para evitar este tipo de problemas.
Más información:
- Over 39,000 Unauthenticated Redis Instances Found Exposed on the Internet
- Manual de configuración de Redis
- Noticia relaccionada con criptomonedas
Deja una respuesta