Исследователи обнаружили более 6 тыс. скомпрометированных серверов Redis

Эксперты компании Risk Based Security обнаружили с помощью поисковика Shodan более 6 тыс. серверов Redis, скомпрометированных злоумышленниками. Redis – от REmote DIctionary Server является одной из самых популярных NoSQL баз данных, когда-то спонсируемой VMware и Pivotal Software.

Вооружившись клиентом, исследователи обнаружили, что большинство проиндексированных поисковиком серверов были скомпрометированы. Общим для всех взломанных баз данных было ключевое поле “crackit”, содержащее один и тот же SSH ключ с email адресом ryan@exploit.im.

Ключ crackit присутствовал на некоторых серверах как минимум 6 месяцев. Дальнейшее исследование показало, ключ crackit использовался в эксплоите к уязвимости в Redis сервере, обнаруженной в 2015 году.

По результатам сканирования 30239 серверов Redis с помощью Shodan исследователи сумели получить следующую статистику:

Скомпрометированные серверы: 6,338
Уникальные ASN: 838
Уникальные ISP: 1,024
Уникальные хосты: 2,262
Уникальные домены: 961
Уникальные версии Redis: 106
Уникальные ОС: 5
Уникальные ORG: 1,121
Страны: 87
Уникальные ключи: 7
Уникальные email-адреса: 14
Уникальные SSH: 40

Причина возникшей утечки – отсутствие механизмов авторизации в версиях Redis до 3.2.

С подробным исследованием экспертов можно ознакомиться здесь.