Infos

Des instances de Redis accessibles à l’origine d’attaques contre Linux

Il semblerait que les responsables des récentes attaques de ransomwares menées contre Linux, et baptisées Fairware, seraient des instances de Redis accessibles via Internet. Des erreurs de configuration impardonnables ont permis aux attaquants de supprimer les dossiers Internet et d’installer, dans certains cas, un code malveillant.

Le stockage de données réseau scalable Redis avec un code source ouvert est utilisé par les développeurs d’applications Web pour accélérer la mis en cache des données. Les créateurs de cet outil l’ont configuré de telle sorte qu’il est accessible uniquement aux clients de confiance qui évoluent dans un environnement de confiance. Les développeurs ont clairement indiqué dans les recommandations d’application que Redis n’est pas prévu pour être accessible au public.

Ceci étant dit, une enquête menée par Duo Labs a permis de découvrir en ligne 18 000 mises en œuvre non sécurisée de Redis ainsi que des preuves d’attaques contre 13 000 d’entre elles. D’après Jordan Wright de chez Duo, toutes les instances attaquées n’ont pas été compromises mais le potentiel de croissance du problème existe.

Les premières plaintes relatives aux attaques de Fairware sont apparues sur le forum de BleepingComputer ; les attaquants supprimaient le dossier Internet et laissaient sur le serveur un lien vers Pastebin où se trouvait la demande de rançon. Aussi bien BleepingComputer que Duo ont confirmé la ressemblance des attaques contre Linux après avoir comparé les artéfacts : textes des messages d’escroquerie, adresses IP utilisées, clés SSH, etc.

Bien que les attaquants évoquent dans de nombreux messages le ransomware Fairware prétendument installé sur l’ordinateur de la victime, personne n’a encore trouvé de preuves de l’infection. Selon toute évidence, il s’agissait d’une intrusion de pirates ; au début, les chercheurs pensaient que les individus malintentionnés avaient réussi à obtenir le mot de passe SSH, mais d’après les conclusions de Duo, les attaques se sont déroulées via des Redis ouverts.

D’après Jordan Wright, « l’utilisation de la force brute est un diagnostic erroné. La victime a remarqué un accès non autorisé via SSH et a considéré celui-ci comme la cause principale. Toutefois, les attaquants sont entrés via un autre point, dans Redis, et ils n’ont pas du faire appel à la force brute ».

Duo Lab a mis un piège en place et a pu observer la manière dont les individus malintentionnés organisent cette attaque « rusée » comme le dit Jordan Wright. Le fait est que certaines instances de Redis sont accessibles depuis l’extérieur. La connexion à Redis permet au client d’envoyer des commandes GET et SET pour les données, d’obtenir des informations systèmes ou de modifier les paramètres à distance. Une recherche sur Shodan a confirmé que la majorité des instances de Redis installées fonctionnent avec une version dépassée de l’application alors que les versions les plus récentes sont dotées d’un mode de protection capable de bloquer ce vecteur d’attaque.

Dans la mesure où les paramètres des Redis vulnérables peuvent être modifiés à distance, les auteurs de l’attaque pouvaient enregistrer dans le répertoire racine du disque une paire key/value qui renvoyait vers leur propre clé SSH publique. Ils pouvaient ainsi accéder à Redis avec les privilèges root.

Les chercheurs de chez Duo ont trouvé sur la majorité des hôtes compromis une clé nommée crackit, qui est cette même clé SSH ouverte. Dans ses commentaires envoyés à Threatpost, Lawrence Abrams, de chez BleepingComputer, a confirmé que lors de l’attaque Fairware contre plusieurs victimes, la clé SSH crackit avait été découverte et les mêmes adresses IP avaient été identifiées. De son côté, Duo a compté 15 adresses IP d’attaque et d’après Jordan Wright, 4 000 exemplaires d’une autre clé SSH (qwe) ont été découverts.

Jordan Wright a déclaré : « Nous pensons que cette clé vient d’un autre individu malintentionné qui a chargé et exécuté un malware DDoS. Actuellement, si une instance de Redis a été compromise de la sorte (ajout d’une clé SSH pour obtenir un accès root), le module est complètement compromis. Les attaquants peuvent entrer via SSH et compromettre l’appareil. Cette méthode d’automatisation d’un processus aussi simple ne laisse rien présager de bon et débouche toujours sur une catastrophe ».

Il est déconseillé aux victimes de Fairware de payer la rançon car les attaquants sont plus que probablement des escrocs qui ne rendront pas les fichiers. Pour l’instant, aucune preuve de chiffrement des données ou de conservation de copies n’a été découverte.

Jordan Wright conclut en disant que la découverte des instances de Redis non mises à jour sur Internet et déployée au mépris des règles de sécurité est une bonne chose. Il sera intéressant de voir si ces attaques de ransomware qui suppriment les fichiers au lieu de les chiffrer vont se répéter. »

Fonte: Threatpost

Des instances de Redis accessibles à l’origine d’attaques contre Linux

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception