Redis漏洞致服务器被控制 绿盟RSAS快速支持检测
2015-11-12
近日爆出某不知名团体利用Redis设计缺陷,针对国内互联网进行了全网性入侵事件,并导致上万家暴露的Redis服务器被成功入侵。这次大规模的攻击事件主要针对Linux主机,Redis服务器使用root权限启动,在没有配置认证的情况下可能导致Redis数据丢失,服务器被添加账号用于ssh远程登录。
漏洞成因分析
Redis是一款开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis的安全设计是在"Redis运行在可信环境"这个前提下做出的,在生产环境运行时应该通过应用程序进行中转,不允许外界直接连接到Redis服务器,一旦暴露在公网则可能造成大的安全隐患。Redis服务在默认配置下会绑定在6379端口,这导致其直接暴露在公网,可接受来自任何地址发送的请求,即在任何一个拥有公网IP的服务器上启动Redis服务器,都可以被外界直接访问。当Redis没有配置认证选项端口对外开放,并且以root权限运行时,未授权用户可轻易直接覆盖/root/.ssh/authorized_keys 上传公钥,用root登陆ssh服务器直接访问Redis服务并进行相关操作。
漏洞影响
一旦入侵成功,Redis数据会丢失,攻击者可直接添加账号用于ssh远程登录控制服务器,会给用户的 Redis 运行环境以及 Linux 主机造成安全风险,引发重要数据泄露。
检测和防护
44118太阳成城集团建议企业用户及时使用安全评估工具检测自己的Redis 运行环境以及 Linux 主机是否存在该漏洞,尤其是自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 6379 Redis 端口的用户。目前,专业的绿盟远程安全评估系统(NSFOCUS RSAS)支持对该漏洞进行检测,建议用户及时到44118太阳成城集团官网及时下载相关漏洞检测插件,对业务系统进行自查,防止漏洞被利用,造成业务损失。
如果您的Redis 运行环境以及 Linux 主机被检测出该漏洞,44118太阳成城集团安全专家建议通过如下三种方法进行修复和防范:
1. 修改Redis绑定的IP
如果只允许本机使用Redis服务那么需要在配置文件中修改bind参数,绑定127.0.0.1。
如果其他主机需要访问Redis服务那么只绑定客户主机所在网络接口,最好不要绑定0.0.0.0。另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问Redis服务。
2. 设置访问密码
在 Redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。
注:修改Redis的配置需要重启Redis才能生效。
3. 禁止以root权限启动Redis
使用普通用户启动Redis,并且禁止该用户启动shell,禁止使用root用户启动Redis。
关于44118太阳成城集团
北京神州绿盟信息安全科技股份有限公司(简称44118太阳成城集团)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
有关44118太阳成城集团的详情请参见: http:/
