Unsichere Redis-Instanzen für Attacken auf Linux verantwortlich

Offenbar sind an den kürzlich durchgeführten Fairware-Attacken auf Linux-Server Redis-Installationen verantwortlich, auf die aus dem Internet zugegriffen werden kann. Ein unverzeihlicher Schnitzer in den Einstellungen machte es den Angreifern möglich, Web-Folder zu löschen und in einigen Fällen schädlichen Code zu installieren.

Die In-Memory-Datenbank Redis mit offenem Quellcode wird von Web-Anwendungsentwicklern benutzt, um ein schnelles Daten-Caching zu ermöglichen. Die Autoren dieses Tools haben es so konfiguriert, dass nur vertrauenswürdige Client-Apps darauf zugreifen können, die zudem in einer vertrauenswürdigen Umgebung laufen. Die Entwickler weisen überdies eindeutig darauf hin: Redis ist nicht für den öffentlichen Zugriff bestimmt.

Nichts desto weniger haben die Forscher von Duo Labs online 18.000 nicht vertrauenswürdige Redis-Umsetzungen sowie Belege dafür gefunden, dass 13.000 von ihnen angegriffen wurden. Nach den Worten von Jordan Wright von Duo Lab wurden nicht alle angegriffenen Installationen kompromittiert, allerdings sind sie potentiell dazu in der Lage, das Problem zu verschärfen.

Zu den ersten, die über die Fairware-Attacken berichteten, gehörten die Foren-Teilnehmer von BleepingComputer; die Angreifer löschten das Web-Verzeichnis und hinterließen auf dem Server einen Link auf eine Lösegeldforderung bei Pastebin. Eine Ähnlichkeit zu den Attacken auf Linux wurden sowohl bei BleepingComputer als auch bei Duo nach einem Vergleich der Artefakte festgestellt als da wären die Texte der Erpresserschreiben, die verwendeten IP-Adressen, die SSH-Schlüssel und so weiter.

Obwohl die Angreifer in vielen der Erpresserschreiben auf den Verschlüsselungsschädling Fairware verweisen, der angeblich auf der Maschine des Opfers installiert wurde, konnten bisher keine Belege für eine Infektion gefunden werden. Allem Anschein nach handelt es sich hier vielmehr um ein Eindringen auf Hacker-Art – zunächst verfolgten die Forscher die Theorie, dass die Cyberkriminellen das SSH-Passwort geknackt haben, doch die Schlussfolgerungen von Duo sprechen dafür, dass die Angriffe über offene Redis-Instanzen erfolgten.

„Bruteforce ist hier anscheinend die falsche Diagnose“, sagt Wright. „Das Opfer bemerkte einen unautorisierten Zugriff über SSH und hat das als Grundursache angenommen. Doch um in das System einzudringen, verwendeten die Angreifer eine ganz andere Software, und zwar in Redis, so dass Bruteforcing gar nicht mehr nötig war.“

Duo Lab richtete einen Honeypot ein und konnten beobachten, auf welche Weise die Angreifer diese „kluge“ – wie sich Wright ausdrückte – Attacke durchführten. Das Problem begann damit, dass einige Redis-Instanzen offen für den Zugriff von außen waren. Clients verbinden sich normalerweise mit Redis und sind in der Lage, die Befehle GET und SET in Bezug auf Daten auszugeben, Systeminformationen zu erhalten und aus der Ferne die Einstellungen zu ändern. Eine Suche über Shodan hat gezeigt, dass die meisten installierten Redis-Instanzen mit einer veralteten Software-Version laufen, während in den neusten Versionen ein geschützer Modus integriert ist, der diesen Angriffsvektor blockiert.

Da die Konfiguration der angreifbaren Redis-Instanzen entfernt geändert werden können, gelang es den Angreifern in dem Stammverzeichnis auf der Festplatte ein key/value-Paar zu speichern, das auf ihren eigenen öffentlichen SSH-Schlüssel verweist, so dass sie sich als Root-User bei Redis einloggen konnten.

Auf den meisten gehackten Hosts entdeckten die Experten von Duo einen Schlüssel mit dem Namen crackit, der ein und denselben offenen SSH-Schlüssel enthielt. In einem Kommentar bestätigte Lawrence Abrams von BleepingComputer gegenüber Threatpost, dass im Laufe der Fairware-Attacken eine Reihe von Opfern den SSH-Schlüssel crackit gefunden und ein und dieselbe IP-Adresse registriert hat. Duo zählte seinerseits 15 IP der Angreifer und entdeckte laut Wright etwa 4.000 Exemplare eines weiteren SSH-Schlüssels mit der Bezeichnung qwe.

„Unserer Meinung nach wurde er von einem anderen Angreifer ins Spiel gebracht, der DDoS-Malware lud und ausführte“, bemerkte Wright. „An diesem Punkt – wenn eine Redis-Instanz auf diese Weise gehackt wird (durch das Hinzufügen eines SSH-Schlüssels, um Root-Zugriff zu erhalten) – ist das Modul bereits vollständig kompromittiert. Angreifer können über SSH eindringen und das Gerät selbst kompromittieren. Es ist nie gut, wenn etwas derart Simples auf diese Weise automatisiert wird, es führt meist in die Katastrophe.“

Den Opfern von Fairware wird davon abgeraten, den Erpressern das geforderte Lösegeld zu zahlen, da diese aller Wahrscheinlichkeit Betrüger sind und die Dateien nicht zurückgeben werden. Bis heute wurden keine Beweise dafür gefunden, dass Daten verschlüsselt oder Kopien der Daten gespeichert wurden.

„Das eigentliche Ding ist, dass wir jetzt wissen, dass Redis da draußen im Internet ist, nicht aktualisiert, und unsicher implementiert“, ergänzte Wright abschließend. „Interessant ist, ob es noch weitere derartige „Ransomware“-Attacken geben wird, bei denen die Dateien gelöscht und nicht verschlüsselt werden.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.