Tháng 1/2022, Reginaldo Silva, một nhân viên bảo trì Redis, đã phát hiện ra một lỗ hổng c, được Redis sử dụng, cho phép các tác nhân độc hại thực thi tập lệnh Lua và thực thi mã tùy ý trên máy chủ.

CVE-2022-0543 (CVSS: 10/10) là một cảnh báo cho những người chạy Radis trên Debian, Ubuntu và bất kỳ bản phân phối Linux nào chạy trên nền tảng Debian. Ngoài ra, Juniper đã tìm thấy một cuộc tấn công nhắm vào lỗ hổng này.

Khi báo cáo được phát hành, người ta đề cập rằng lỗ hổng này chỉ ảnh hưởng đến các bản phân phối sử dụng gói Ubuntu hoặc Debian Redis, ngoài ra thực tế là việc khai thác yêu cầu các cấu hình tùy chỉnh trong Redis và hiện các cấu hình này đã có trên Internet.

Mặc dù việc khai thác ồ ạt CVE-2022-0543 có vẻ là khai thác từ xa, các nhà nghiên cứu Rapid7 đã quyết định phân tích các điều kiện để tạo một cuộc tấn công quy mô lớn, nhằm tính toán xem hiện có thể có bao nhiêu hệ thống bị tấn công.

Sau một tháng thử nghiệm, các chuyên gia đã phát hiện ra khoảng 33.000 máy chủ Redis kết nối Internet cho phép truy cập không xác thực. Mặc dù lỗ hổng bảo mật cũng ảnh hưởng đến các máy chủ yêu cầu xác thực, nhưng phân tích tập trung vào các máy chủ hỗ trợ truy cập từ xa.

Dựa trên phát hiện này, các nhà nghiên cứu đã sử dụng công cụ tìm kiếm Shodan nổi tiếng để xác định có bao nhiêu máy chủ trong số các máy chủ đã xác định trước đó có nguy cơ cao bị khai thác.

Tiếp theo, các chuyên gia bắt đầu lọc các máy chủ có thể bị ảnh hưởng bằng cách áp dụng các tiêu chí như phân tích OS version và phiên bản Redis.

Cuối cùng các chuyên gia kết luận, có tới 2.000 máy chủ Redis có khả năng bị tấn công đã được xác định. Mặc dù không thể biết có bao nhiêu máy chủ trong số này đã cài đặt Redis bằng cách sử dụng các gói bị ảnh hưởng, bao nhiêu máy đã nhận được bản cập nhật hoặc bao nhiêu máy là honeypots, nhưng rủi ro mang đến cho hệ thống là rất lớn.

https://www.securitynewspaper.com/