Des instances de Redis accessibles à l’origine d’attaques contre Linux

Il semblerait que les responsables des récentes attaques de ransomwares menées contre Linux, et baptisées Fairware, seraient des instances de Redis accessibles via Internet. Des erreurs de configuration impardonnables ont permis aux attaquants de supprimer les dossiers Internet et d’installer, dans certains cas, un code malveillant.

Le stockage de données réseau scalable Redis avec un code source ouvert est utilisé par les développeurs d’applications Web pour accélérer la mis en cache des données. Les créateurs de cet outil l’ont configuré de telle sorte qu’il est accessible uniquement aux clients de confiance qui évoluent dans un environnement de confiance. Les développeurs ont clairement indiqué dans les recommandations d’application que Redis n’est pas prévu pour être accessible au public.

Ceci étant dit, une enquête menée par Duo Labs a permis de découvrir en ligne 18 000 mises en œuvre non sécurisée de Redis ainsi que des preuves d’attaques contre 13 000 d’entre elles. D’après Jordan Wright de chez Duo, toutes les instances attaquées n’ont pas été compromises mais le potentiel de croissance du problème existe.

Les premières plaintes relatives aux attaques de Fairware sont apparues sur le forum de BleepingComputer ; les attaquants supprimaient le dossier Internet et laissaient sur le serveur un lien vers Pastebin où se trouvait la demande de rançon. Aussi bien BleepingComputer que Duo ont confirmé la ressemblance des attaques contre Linux après avoir comparé les artéfacts : textes des messages d’escroquerie, adresses IP utilisées, clés SSH, etc.

Bien que les attaquants évoquent dans de nombreux messages le ransomware Fairware prétendument installé sur l’ordinateur de la victime, personne n’a encore trouvé de preuves de l’infection. Selon toute évidence, il s’agissait d’une intrusion de pirates ; au début, les chercheurs pensaient que les individus malintentionnés avaient réussi à obtenir le mot de passe SSH, mais d’après les conclusions de Duo, les attaques se sont déroulées via des Redis ouverts.

D’après Jordan Wright, « l’utilisation de la force brute est un diagnostic erroné. La victime a remarqué un accès non autorisé via SSH et a considéré celui-ci comme la cause principale. Toutefois, les attaquants sont entrés via un autre point, dans Redis, et ils n’ont pas du faire appel à la force brute ».

Duo Lab a mis un piège en place et a pu observer la manière dont les individus malintentionnés organisent cette attaque « rusée » comme le dit Jordan Wright. Le fait est que certaines instances de Redis sont accessibles depuis l’extérieur. La connexion à Redis permet au client d’envoyer des commandes GET et SET pour les données, d’obtenir des informations systèmes ou de modifier les paramètres à distance. Une recherche sur Shodan a confirmé que la majorité des instances de Redis installées fonctionnent avec une version dépassée de l’application alors que les versions les plus récentes sont dotées d’un mode de protection capable de bloquer ce vecteur d’attaque.

Dans la mesure où les paramètres des Redis vulnérables peuvent être modifiés à distance, les auteurs de l’attaque pouvaient enregistrer dans le répertoire racine du disque une paire key/value qui renvoyait vers leur propre clé SSH publique. Ils pouvaient ainsi accéder à Redis avec les privilèges root.

Les chercheurs de chez Duo ont trouvé sur la majorité des hôtes compromis une clé nommée crackit, qui est cette même clé SSH ouverte. Dans ses commentaires envoyés à Threatpost, Lawrence Abrams, de chez BleepingComputer, a confirmé que lors de l’attaque Fairware contre plusieurs victimes, la clé SSH crackit avait été découverte et les mêmes adresses IP avaient été identifiées. De son côté, Duo a compté 15 adresses IP d’attaque et d’après Jordan Wright, 4 000 exemplaires d’une autre clé SSH (qwe) ont été découverts.

Jordan Wright a déclaré : « Nous pensons que cette clé vient d’un autre individu malintentionné qui a chargé et exécuté un malware DDoS. Actuellement, si une instance de Redis a été compromise de la sorte (ajout d’une clé SSH pour obtenir un accès root), le module est complètement compromis. Les attaquants peuvent entrer via SSH et compromettre l’appareil. Cette méthode d’automatisation d’un processus aussi simple ne laisse rien présager de bon et débouche toujours sur une catastrophe ».

Il est déconseillé aux victimes de Fairware de payer la rançon car les attaquants sont plus que probablement des escrocs qui ne rendront pas les fichiers. Pour l’instant, aucune preuve de chiffrement des données ou de conservation de copies n’a été découverte.

Jordan Wright conclut en disant que la découverte des instances de Redis non mises à jour sur Internet et déployée au mépris des règles de sécurité est une bonne chose. Il sera intéressant de voir si ces attaques de ransomware qui suppriment les fichiers au lieu de les chiffrer vont se répéter. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *