4006-555-883

8000余未受保护的开源 Redis 实例可遭任意访问

发布时间:2020-04-08 12:01:00

  Trend Micro的安全研究人员发现了大约8000个不安全的Redis实例,这些实例暴露在任何有互联网连接的人面前。

  在世界各地,不安全的实例被发现缺乏传输层安全(TLS)加密,并且没有任何密码保护。其中一些实例甚至部署在公共云中。

  一个开源的内存数据结构存储,Redis(远程字典服务器)是为在可信环境中使用而设计的。因此,如果不加保护且可以访问Internet,Redis实例很容易受到各种滥用,包括SQL注入、跨站点脚本攻击,甚至远程代码执行。

  此外,能够连接到不安全部署的网络罪犯可以查看、访问和修改存储的数据,并上载恶意文件。几年前,FairWare勒索软件瞄准了18000多个不安全的Redis实例。



  自2017年7月发布的Redis 4.0以来,就已经存在了一个保护模式配置,并且还被移植到了Redis 3.2.0。在默认配置下执行Redis时,如果没有密码保护,则会自动启用此保护。

  在此模式下,Redis只回复来自环回接口的查询,并向尝试连接的其他客户端发送错误消息。但是,管理员可能仍然会忽略该消息并手动绑定所有接口,甚至完全禁用受保护模式。

  Trend Micro的安全研究人员指出,Redis非常受欢迎,其官方的Docker Hub图片迄今已注册超过10亿次下载。

  在互联网连接设备搜索引擎Shodan的帮助下,研究人员在全球范围内发现了8000多个不安全的Redis实例,其中一些在AWS、Azure和Google云等公共云中。

  默认情况下,Redis在基于明文的TCP端口6379上侦听,而不提供使用TLS加密数据的选项。另一方面,Redis用户有可能启用TLS和安全通信,但这只能确保数据在传输过程中是安全的,不会保护部署不受未经授权的访问。

  在公开的Redis服务器上,恶意参与者可以滥用命令来崩溃安装(拒绝服务)、在服务器上下文中执行LUA脚本、检索或修改数据、清空或删除所有密钥以及嗅探用户流量。

  为了保证Redis实例的安全,管理员应该确保部署的安全性是正确的,并且只有经过授权的用户才能访问它们,使用TLS和密码身份验证,注意命令的执行,在使用容器时应用网络分段,避免在前端开发中使用Redis。

  【内容来源于securityweek】

最新发布
1
网站信息安全成国际焦点,部署适配SSL证书时不我待
2
3分钟,我要知道SSL证书的全部信息!
3
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
4
敲黑板!SSL证书常见七大问题答疑来啦!
5
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
6
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
7
SSL证书过期?后果很严重!
8
疫情防控常态化,企业信息安全将同步迎来“大考”
9
SM2算法对比RSA算法,到底强在哪?
10
免费or付费?人类高质量SSL证书怎么选!
相关推荐
网站信息安全成国际焦点,部署适配SSL证书时不我待
3分钟,我要知道SSL证书的全部信息!
敲黑板!SSL证书常见七大问题答疑来啦!
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?