Μετά τη σάρωση των 72.000 εξυπηρετητών Redis (Remote Dictionary Server) η Imperva  ανακοίνωσε ότι το 75% αυτών που είναι διαθέσιμοι στο διαδίκτυο βρέθηκαν μολυσμένοι με κακόβουλα κλειδιά.

 

Τα τρία τέταρτα των διακομιστών περιείχαν κακόβουλο κώδικα, κάτι που η Imperva είπε ότι αποτελεί ένδειξη μόλυνσης από κακόβουλο λογισμικό. Τα δεδομένα των προγραμμάτων ασφάλειας που ήταν εγκατεστημένα αποκάλυψαν επίσης ότι αυτοί οι κεντρικοί υπολογιστές που περιείχαν και backup keys δέχτηκαν επίθεση από ένα μεσαίου μεγέθους botnet (610 IPs) με το 86% αυτών να εντοπίζεται στην Κίνα.

Ο επικεφαλής της ερευνητικής ομάδας ασφαλείας στην Imperva Nadav Avital έγραψε στο blog ότι το υψηλό ποσοστό μολύνσεων ήταν πιθανότερο να έγινε επειδή οι συγκεκριμένοι servers εκτίθενται απευθείας στο διαδίκτυο. “Ωστόσο, αυτό δεν προτείνεται και δημιουργεί τεράστιους κινδύνους για την ασφάλεια ενός συστήματος ή δικτύου.”

Ένα Redis αποτελεί εργαλείο με πολλά χαρακτηριστικά για έναν κακόβουλο χρήστη αφού μπορεί να χρησιμοποιηθεί ως διανεμημένη βάση δεδομένων, μνήμη cache

ή server μηνυμάτων. Επειδή έχει σχεδιαστεί για να έχει πρόσβαση σε αξιόπιστους πελάτες μέσα σε αξιόπιστα περιβάλλοντα, δεν θα πρέπει να εκτίθεται δημόσια.

“Για να βοηθηθεί η προστασία των διακομιστών Redis από το να πέσουν θύματα αυτών των επιθέσεων, δεν πρέπει ποτέ να συνδεθούν με το διαδίκτυο και επειδή το Redis δεν χρησιμοποιεί κρυπτογράφηση και αποθηκεύει δεδομένα σε απλό κείμενο, δεν θα πρέπει ποτέ να αποθηκεύονται ευαίσθητα δεδομένα στους διακομιστές.” Αναφέρει ο Nadav.

“Τα ζητήματα ασφάλειας προκύπτουν συνήθως όταν οι άνθρωποι δεν διαβάζουν τα manual και τις διάφορες οδηγίες ασφάλειας και διαχείρισης και μεταφέρουν τις υπηρεσίες στο cloud, χωρίς να γνωρίζουν τις συνέπειες ή τα κατάλληλα μέτρα που χρειάζονται για να το κάνουν.”, συνέχισε.

Η καμπάνια γενικά περιελάμβανε επίθεση από 295 IPs πάνω από 70.000 φορές μέσω SQL injection, cross-site scripting,κακόβουλα αρχεία,RCE(Remote Code Execiution),cryptomining κ.α