حمله به کار‌گزار‌های لینوکس: Redis

منشأ حملات اخیر علیه کارگزار‌ها‌ی لینوکس با نام Fairware به پرونده‌های نصبی نا‌‌امن Redis باز‌می‌گردد. پرونده‌هایی که نفوذگران از آن‌ها برای حذف پوشه‌های وب و در بعضی موارد برای نصب کد‌های مخرب استفاده می‌کنند.

Redis یک ابزار متن‌باز است که توسعه‌دهندگان برنامه‌های وب از آن استفاده می‌کنند تا داده‌ها را به سرعت در حافظه‌ی نهان ذخیره کنند. توسعه‌دهندگان این ابزار، Redis را تنها برای دسترسی مشتریان قابل‌اعتماد درون محیط‌های قابل‌اعتماد تنظیم کرده‌اند؛ بدین ترتیب نمونه‌های Redis برای مواجهه با اینترنت مناسب نیستند.

با‌این‌حال محققان در آزمایشگاه Duo، هجده هزار نصب برخط Redis ناامن را یافته‌اند و شواهد حمله به ۱۳ هزار مورد از آن‌ها را نیز کشف کرده‌اند. با وجود اینکه تمام آن‌ها مورد دست‌کاری قرار نگرفته‌اند اما جردن رایت بیان کرد که احتمال بدترشدن این مشکل وجود دارد.

در همین حال، حملات Fairware در اطلاعیه‌هایی به انجمن‌های وابسته از تحقیقات آزمایشگاه Duo بانام BleepingComputer گزارش می‌شد. در هر دو مورد، مهاجمان پوشه‌های وب کارگزارها را حذف کرده و پیوندی را به Pastebin بر جای می‌گذاشتند که شامل یادداشت باج‌گیری بود.

محققان آزمایشگاه Duo و BleepingComputer بیان کردند که مقایسه میان تعداد یادداشت‌ها و سایر شواهد نظیر آدرس‌های IP و کلید‌های SSH که توسط مهاجمان استفاده‌ شده‌اند، شواهد کافی برای ارتباط میان این حملات هستند. یادداشت باج‌گیری، نوعی اضطرار را برای قربانیان به همراه دارد. در یکی از یادداشت‌هایی که به آزمایشگاه Duo رسیده بود عنوان ‌شده بود که پوشه‌ها رمز‌نگاری شده‌اند و برای کلید رمز‌گشایی خصوصی، ۲ بیت‌کوین باید پرداخت می‌شد. نمونه‌‌های دیگر از این مورد یادداشت‌ها که در اختیار BleepingComputer قرارگرفته‌اند عنوان می‌کنند که کارگزار‌ها آلوده به باج‌افزار Fairware هستند و در صورت عدم پرداخت ۲ بیت‌کوین، پرونده‌ها به‌صورت برخط پخش خواهند شد. با این‌حال، مهاجمان پا‌فشاری می‌کنند که قربانیان برای تأیید حمله و یا مالکیت پرونده‌های حذف‌شده یا رمز‌‌نگاری شده با آن‌ها ارتباط برقرار نکنند.

با این ‌وجود، در هیچ‌کدام از این موارد، مدرکی دال بر وجود باج‌افزار-رمز‌نگاری بر روی دستگاه‌ها نیست. در مقابل، مهاجمان از طریق نمونه‌ّ‌های Redis به کارگزارهای لینوکس نفوذ کنند. در ابتدا بعضی از قربانیان معتقد بودند که مهاجمان با استفاده از جستجو‌ی فراگیر کلید‌های SSH آن‌ها قادر به دسترسی به کارگزار هستند.

رایت اعلام کرد: «به نظر من جستجوی فراگیر یک تشخیص اشتباه بوده است. قربانیان با مشاهده‌ی SSH، گمان می‌کردند که مهاجم به دستگاه آن‌ها وارد می‌شود؛ اما مهاجمان درچارچوب Redis در حال بهره‌برداری از نرم‌افزار مختلف بوده‌اند و هیچ نیازی به جستجوی فراگیر نبوده است.»

طبق گفته‌های رایت، آزمایشگاه Duo، ترفندی را به‌کار گرفته و مشاهده کرده است که مهاجمان در حال انجام حمله‌ای «زیرکانه» بوده‌اند. مشکل با مواجهه‌ی نمونه‌های Redis با اینترنت آغاز می‌شود. مشتریان عموماً به این نمونه‌ها متصل می‌شوند و قادر به اجرای فرمان برای گرفتن و تنظیم اطلاعات (GET/SET)، بازیابی اطلاعات سامانه یا تغییرات پیکربندی از راه دور می‌شوند. با انجام جستجو در Shodan، آزمایشگاه Duo دریافت که اکثر نمونه‌های متصل شده‌ی Redis، بر روی مدل‌های قدیمی‌تر نرم‌افزار، در حال اجرا هستند؛ در حالی‌که مدل‌های جدید‌تر شامل حالت محافظت‌کننده‌ای هستند که مانع انجام حمله می‌شود.

چون این نمونه‌ها را می‌توان از راه دور پیکربندی کرد، مهاجمان قادر به دست‌کاری Redis برای ذخیره‌ی یک جفت کلید/مقدار بر روی دیسک و در پوشه‌ی ریشه بودند. این جفت کلید/مقدار به کلید SSH عمومی اشاره می‌کند و به آن‌ها اجازه داده می‌دهد به‌عنوان کاربر ریشه به Redis راه پیدا کنند.

محققان آزمایشگاه Duo بیان کردند که در اکثر میزبان‌های آلوده‌شده کلیدی بانام crackit یافته‌اند که شامل کلید SSH عمومی مشابه می‌باشد. لارنس آبرامز از شرکت BleepingComputer تأکید کرد که تعدادی از قربانیان، کلید SSH مشابه crackit و آدرس‌های IP را در حمله مشاهده می‌کرده‌اند. Duo نیز اعلام کرده است که حملاتی را از جانب ۱۵ آدرس IP، مشاهده کرده است. رایت گفت که کلید دیگری با نام qwe نزدیک به ۴ هزار قربانی داشته است.

رایت دراین‌باره اعلام کرد: «معتقدیم که این کار توسط بازیگر دیگری که در حال بارگذاری و اجرای بدافزار DDoS بوده، صورت گرفته است. در این حالت، زمانی که از یک نمونه Redis بدین شکل بهره‌برداری می‌شود (افزودن یک کلید SSH تا دسترسی ریشه حاصل شود) از نمونه بهره‌برداری کامل شده است. آن‌ها می‌توانند SSH زده و به طور کامل کنترل دستگاه را بدست گیرند. هنگامی‌که چیزی به این سادگی و بدین‌صورت به حالت خودکار در‌می‌آید، اصلاً خوب نیست و این پایان ماجرا است.»

در همین حال، قربانیان نباید باج را پرداخت کنند زیرا احتمالاً کلاه‌برداری است و پرونده‌ها حذف‌ شده‌اند. محققان می‌گویند که تابه‌حال مدرکی دال بر رمز‌نگاری یا پشتیبان‌گیری پرونده‌ها ندیده‌اند.

رایت می‌گوید: «مسئله‌ی مهم این است که Redis در اینترنت وجود دارد، به طور نا‌امن پیاده‌سازی شده است و ارتقا داده نمی‌شود…»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.