Sebagian besar server Redis yang terekspos secara online di Internet tanpa sistem otentikasi di tempat yang kemungkinan besar menyimpan malware, kata juru bicara Imperva.
Para ahli perusahaan mencapai kesimpulan ini setelah menjalankan server honeypot berbasis Redis selama beberapa bulan terakhir.
Melalui server honeypot ini, Imperva sebelumnya telah menemukan ReddisWannaMine, operasi botnet yang diam-diam menambang cryptocurrency di server Redis terbuka yang dibiarkan terekspos secara online.
Penggunaan kembali kunci SSH mengungkapkan operasi botnet
Pola yang paling jelas untuk diketahui adalah bahwa penyerang terus menginstal kunci SSH pada server Redis yang dikompromikan sehingga mereka dapat mengaksesnya di lain waktu.
“Kami melihat bahwa penyerang yang berbeda menggunakan kunci dan/atau value yang sama untuk melakukan serangan,” kata Imperva, “kunci atau value yang di share antara beberapa server adalah tanda jelas dari aktivitas botnet jahat.”
Ahli Imperva mengambil kunci SSH yang mereka kumpulkan melalui honeypot mereka dan memindai semua server Redis yang terekspos secara online untuk memvalidasi kunci-kunci ini.
Sekitar 75% server Redis yang diuji berhasil dikompromikan
Ada lebih dari 72.000 server Redis terekspos online hari ini, dan menurut Imperva, lebih dari 10.000 dari ini menanggapi permintaan pemindaian tanpa kesalahan, yang memungkinkan peneliti untuk menentukan kunci SSH yang dipasang secara lokal.
Para ahli mengatakan mereka telah menemukan bahwa lebih dari 75% dari server ini menampilkan kunci SSH yang diketahui terkait dengan operasi botnet malware.
Beberapa kunci SSH berbahaya telah aktif selama dua tahun
Satu kunci tertentu dari daftar di atas menonjol bagi reporter ini. Kunci SSH “crackit” telah digunakan selama bertahun-tahun oleh seorang aktor ancaman yang dikenal.
Kunci jahat ini sebelumnya telah ditemukan pada 6.338 server Redis pada bulan Juli 2016 oleh para peneliti Risk Based Security.
Sebulan kemudian, kunci yang sama telah ditemukan oleh peneliti Duo Lab pada lebih dari 13.000 server Redis yang telah dikompromikan untuk menyimpan permintaan uang tebusan palsu untuk 2 Bitcoin.
Interesting. Deployed a redis docker test container in the cloud and in no time at all they've added crackit and a hacked ssh key.
— SLP (@stevenlivz) May 14, 2016
Server Redis tidak aman secara default
Aktivitas berbahaya historis yang terkait dengan kunci SSH ini saja, mencakup lebih dari dua tahun, hanya membuktikan bahwa pemilik server Redis umumnya tidak menyadari bahwa Redis tidak datang dengan konfigurasi aman secara default.
Server Redis, seperti yang tersirat jelas oleh dokumentasi mereka, dimaksudkan untuk jaringan TI tertutup, oleh karena itu alasannya mereka tidak datang dengan mekanisme kontrol akses yang diaktifkan secara default.
Admin server harus secara sadar mengedit file konfigurasi server untuk mengaktifkan sistem otentikasi, yang merupakan langkah yang selalu dilupakan oleh banyak pengembang.
“Sederhananya, Redis tidak boleh terbuka untuk umum karena tidak memiliki otentikasi default dan semua data disimpan dalam teks yang jelas,” kata Nadav Avital Imperva.
