本文授權(quán)轉(zhuǎn)載自：FreeBuf.COM

參考來源：trendmicro，由Kriston編譯

研究人員在云端發(fā)現(xiàn)約8000個(gè)不安全的Redis，這些Redis未使用TLS加密且未設(shè)密碼保護(hù)。

Redis設(shè)計(jì)之初是在受信任環(huán)境中使用，如果允許其在互聯(lián)網(wǎng)或物聯(lián)網(wǎng)中使用，攻擊者會利用不安全的Redis服務(wù)器來發(fā)起攻擊，例如SQL注入，跨站攻擊，惡意文件上傳、遠(yuǎn)程代碼執(zhí)行等。

什么是Redis？

Redis全稱為Remote Dictionary Server，是一種開源內(nèi)存數(shù)據(jù)存儲結(jié)構(gòu)，常用在數(shù)據(jù)庫，數(shù)據(jù)緩存等。由于Redis駐留在內(nèi)存中，它可以為需要處理大量請求的程序提供毫秒級的響應(yīng)，例如實(shí)時(shí)聊天，金融服務(wù)，醫(yī)療保健和游戲等。

據(jù)報(bào)道，2018年Redis上運(yùn)行著9億個(gè)容器，其擁有廣泛的用戶群，官方鏡像已被下載超過10億次，同時(shí)被GitHub，Craigslist和Twitter等公司使用。Redis還可部署在云中，利用緩存節(jié)省云存儲空間。

Redis分析

利用Shodan發(fā)現(xiàn)全球部署了8000多個(gè)不安全的Redis。其中一些部署在公共云中，如AWS、Azure和Google云。

下圖只列出超過50個(gè)不安全Redis的云：

全球分布：

Redis官方文檔中指出：

Redis旨在受信任環(huán)境中的供受信任客戶端訪問。將Redis直接暴露在互聯(lián)網(wǎng)中或讓不受信任的客戶端直接訪問會使Redis處于危險(xiǎn)之中。

默認(rèn)情況下，Redis監(jiān)聽6379端口。與SMTP協(xié)議相似，此協(xié)議通信不加密，雖然有TLS加密選項(xiàng)但不是Redis的默認(rèn)設(shè)置，用戶需要手動(dòng)啟用TLS。在Redis啟用TLS時(shí)，攻擊者無法嗅探傳輸數(shù)據(jù)。

但是啟用TLS無法阻止Redis服務(wù)器未授權(quán)訪問?？稍谠趓edis.conf中配置requirepass來啟用身份驗(yàn)證，也可以通過CONFIG SET requirepass password命令來啟動(dòng)。

身份驗(yàn)證密碼會以明文形式存儲，所有可以看到配置信息的人都可以獲得密碼。但是即使設(shè)置了身份驗(yàn)證，未啟用TLS時(shí)攻擊者仍可以通過嗅探獲得密碼。

為了限制用戶執(zhí)行關(guān)鍵命令，Redis使用了兩種方法：禁用命令或?qū)⒚钪孛?。Redis用戶可以將命令重命名為空字符來完全禁用命令。

當(dāng)不安全的Redis服務(wù)器處于暴露狀態(tài)時(shí)，攻擊者可能會使用以下命令：

DEBUG SEGFAULT

此命令可訪問無效內(nèi)存，導(dǎo)致Redis崩潰。攻擊者可利用該命令進(jìn)行拒絕服務(wù)攻擊，關(guān)閉正在運(yùn)行的Redis。

EVAL

此命令可在服務(wù)器執(zhí)行LUA腳本。Redis已經(jīng)利用LUA沙盒對某些功能進(jìn)行了限制，不加載關(guān)鍵庫阻止遠(yuǎn)程執(zhí)行，禁用諸如loadfile和dofile之類的功能，確保不會被讀取任意文件。

GET/SET

攻擊者可利用該命令檢索或修改數(shù)據(jù)。

FLUSHALL

此命令能夠清空或刪除所有數(shù)據(jù)庫中所有key，導(dǎo)致數(shù)據(jù)丟失，如果Redis上數(shù)據(jù)未正確備份，還可能導(dǎo)致服務(wù)出錯(cuò)。

MONITOR

此命令顯示服務(wù)器處理的請求，攻擊者可利用它來嗅探流量，尋找目標(biāo)中的重要文件。

安全建議

為確保Redis安全，建議采取以下措施：

1、確定Redis部署位置，確定訪問人員權(quán)限設(shè)置。

2、確保環(huán)境安全配置正確，不允許其他部署干擾Redis。

3、同時(shí)啟用TLS與密碼身份驗(yàn)證。

4、密切注意命令執(zhí)行情況，如DEBUG SEGFAULT和MONITOR。

5、正確網(wǎng)絡(luò)分段。防止Redis應(yīng)暴露在其他不受信任的環(huán)境中。

6、不要在前端開發(fā)中使用Redis。

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的触目惊心，超过 8000+ 漏洞 Redis 暴露在云端！的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。