Hãng bảo mật 360 ngày 08/07 đưa tin, hãng bảo mật RBS (Mỹ) vừa phát hiện có tới 6.338 máy chủ Redis (là một máy chủ cơ sở dữ liệu mã nguồn mở với cơ chế lưu trữ theo dạng cặp giá trị "key - value") nhiễm phần mềm độc hại.

Vì cơ sở dữ liệu này không có bất kỳ cơ chế xác thực cũng như biện pháp phòng thủ bảo mật nào, nên chỉ cần biết địa chỉ IP và port của máy chủ Redis, bất cứ ai cũng có thể truy cập vào dữ liệu trong cơ sở dữ liệu này. Nhờ đó, những kẻ tấn công đã khai thác SSH key để tạo lỗ hổng cho phép chương trình của bên thứ ba có thể lưu SSH key vào tập tin authorized_keys mà không cần xác thực.

Hơn 6.000 máy chủ cơ sở dữ liệu Redis bị nhiễm phần mềm độc hại

Hiện có hơn 30.000 máy chủ Redis không cần bất kỳ chứng thực nào. RBS đã tiến hành quét thông qua công cụ tìm kiếm Shodan và phát hiện 5.832 trường hợp SSH key không đúng chuẩn được gắn liền với một địa chỉ email (ryan@exploit.im) mà trước đây họ đã bắt gặp trong các sự cố khác và 385 key của root@chickenmelone.chicken.com và 211 key của root@dedi10243.hostsailor.com.

Các key không đạt chuẩn chủ yếu là "crackit", "crackit_key", "qwe", "ck", và "crack". Tổng cộng, RBS đã phát hiện 14 địa chỉ email, 40 tổ hợp SSH key làm ảnh hưởng đến 106 phiên bản Redis khác nhau.

Phương Anh (dịch từ Qihoo 360)

Theo NTD