75% des serveurs publics Redis sont infectés par des logiciels malveillants

0

Les chercheurs de la société Imperva viennent de révéler que 75% des serveurs publics Redis sont infectés par des logiciels malveillants. Imperva a récemment mené une enquête sur des attaques ciblant les serveurs Redis. Pour comprendre l’ampleur de la situation, les experts d’Imperva ont créé de faux serveurs publics pour test, afin d’enregistrer le trafic et l’analyser. En moins de 24 heures, les serveurs enregistraient déjà de premières attaques.

L’anatomie de l’attaque est assez simple: l’attaquant définit une paire clé / valeur dans la mémoire, puis l’enregistre dans un fichier du disque dans un emplacement qui forcera le fichier à s’exécuter. Une fois connue la technique utilisé par les cybercriminels, Imperva a décidé d’isoler les clés des attaques et analysé 72000 serveurs Redis disponibles publiquement, pour détecter s’ils hébergeaient l’une des attaques enregistrées par les serveurs de test.

Sans surprise, plus des deux tiers des serveurs Redis ouverts contenaient des clés malveillantes et les trois quarts des serveurs contenaient des éléments vérolés, suggérant que le serveur était infecté. Toujours selon les données de serveurs test, les serveurs infectés avec des clés « de sauvegarde » ont été attaqués à partir d’un botnet de taille moyenne (610 IPs) situé en Chine (86% des IPs).

Nadav Avital, chef de l’équipe de recherche sécurité chez Imperva, révélé que 75% des serveurs Redis ouverts ont été infectés par des malwares, ce qui est probablement dû au fait qu’ils étaient directement exposés à Internet. « Ceci n’est cependant pas du tout recommandé et crée d’énormes risques de sécurité. Pour éviter que les serveurs Redis ne soient victimes d’infections, ils ne devraient jamais être connectés à Internet. Et puisque Redis n’utilise pas le cryptage et stocke les données en texte brut, ils ne devraient jamais contenir de données sensibles. »

Que faire pour vous protéger?

redis

  • Assurez-vous de suivre les notes de sécurité Redis
  • N’exposez pas votre Redis à Internet
  • Si possible, appliquez l’authentification
  • Ne stockez pas les données sensibles en texte clair
  • Surveillez votre serveur Redis pour vous assurer qu’il n’est pas infecté.
  • Vous pouvez surveiller les processus ou la consommation du processeur pour vérifier si un logiciel malveillant de chiffrement crypto est en cours d’exécution.
  • Vous pouvez également utiliser les clés et les valeurs mentionnées dans les tableaux ci-dessus pour surveiller les données stockées sur votre serveur Redis.
  • Assurez-vous de lancer Redis avec les privilèges minimaux nécessaires. L’exécuter avec un utilisateur root, par exemple, est une mauvaise pratique, car elle augmente considérablement les dégâts potentiels qu’un attaquant peut causer.
  • Exécutez Redis 4.X avec « mode protégé » activé.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply