研究者らは、TLS を使用して暗号化されておらず、パスワードで保護されていない、セキュリティ保護されていない Redis インスタンスをクラウド内に約 8,000 個発見しました。 Redis はもともと信頼できる環境で使用するように設計されました。インターネットやモノのインターネットでの使用が許可されると、攻撃者は安全でない Redis サーバーを使用して、SQL インジェクション、クロスサイト攻撃、悪意のあるファイルのアップロード、リモート コード実行などの攻撃を開始します。 Redis とは何ですか?Redis は Remote Dictionary Server の略で、データベースやデータ キャッシュなどでよく使用されるオープン ソースのメモリ データ ストレージ構造です。Redis はメモリ内に常駐するため、リアルタイム チャット、金融サービス、ヘルスケア、ゲームなど、大量のリクエストを処理する必要があるアプリケーションに対して、ミリ秒単位の応答を提供できます。 2018年にはRedis上で9億個のコンテナが稼働していたと報告されています。ユーザーベースは広く、公式イメージは10億回以上ダウンロードされており、GitHub、Craigslist、Twitterなどの企業で使用されています。 Redis は、キャッシュを使用してクラウド ストレージ スペースを節約し、クラウドにデプロイすることもできます。 Redis 分析Shodan を使用して、世界中に 8,000 台を超える安全でない Redis サーバーが展開されていることがわかりました。一部は、AWS、Azure、Google Cloud などのパブリック クラウドにデプロイされています。次の表には、セキュリティ保護されていない Redis を備えた 50 を超えるクラウドのみがリストされています。 グローバル拠点: Redis の公式ドキュメントには次のように記載されています。 Redis は、信頼できる環境内の信頼できるクライアントによってアクセスされることを目的としています。 Redis をインターネットに直接公開したり、信頼できないクライアントが直接アクセスできるようにすると、Redis が危険にさらされます。 デフォルトでは、Redis はポート 6379 をリッスンします。SMTP プロトコルと同様に、このプロトコル通信は暗号化されません。 TLS 暗号化オプションはありますが、Redis のデフォルト設定ではありません。ユーザーは TLS を手動で有効にする必要があります。 Redis で TLS が有効になっている場合、攻撃者は送信されたデータを盗聴することはできません。ただし、TLS を有効にしても、Redis サーバーへの不正アクセスを防ぐことはできません。 redis.conf で requirepass を設定するか、CONFIG SET requirepass password を実行することで認証を有効にすることができます。認証パスワードはプレーンテキストで保存され、構成情報を見ることができるすべてのユーザーに表示されます。しかし、認証が設定されている場合でも、TLS が有効になっていない場合、攻撃者はスニッフィングによってパスワードを取得することができます。 ユーザーがキーコマンドを実行できないように制限するために、Redis ではコマンドを無効にするか、コマンドの名前を変更するという 2 つの方法が使用されます。 Redis ユーザーは、コマンドの名前を空の文字列に変更することで、コマンドを完全に無効にすることができます。 保護されていない Redis サーバーが公開されると、攻撃者は次のコマンドを使用する可能性があります。 デバッグセグメントフォールトこのコマンドは無効なメモリにアクセスし、Redis がクラッシュする可能性があります。攻撃者はこのコマンドを使用してサービス拒否攻撃を開始し、実行中の Redis をシャットダウンする可能性があります。 評価このコマンドは、サーバー上で LUA スクリプトを実行できます。 Redis は LUA サンドボックスを使用して特定の機能を制限し、リモート実行を防ぐために主要なライブラリをロードせず、任意のファイルを読み取れないように loadfile や dofile などの機能を無効にしています。 取得/設定攻撃者はこのコマンドを使用してデータを取得または変更することができます。 フラッシュホールこのコマンドは、すべてのデータベース内のすべてのキーをクリアまたは削除する可能性があり、その結果、データが失われます。 Redis 上のデータが正しくバックアップされていない場合も、サービス エラーが発生する可能性があります。 モニターこのコマンドは、サーバーによって処理されたリクエストを表示し、攻撃者がトラフィックをスニッフィングしてターゲット上の重要なファイルを探すために使用できます。 安全のヒントRedis のセキュリティを確保するには、次の対策が推奨されます。 1. Redis の展開場所と担当者のアクセス権設定を決定します。 |
<<: クラウドが AI へと移行する中、業界の主流メーカーはどのようにしてエコシステムをさらに進化させることができるでしょうか?
>>: Kubernetes ベースのマルチクラウドとハイブリッドクラウド
[編集者注] Dockerはオープンソース化されて以来、大手企業から幅広い注目を集めています。おそら...
インターネット上には、危機的状況にあるウェブサイトが多数あります。これらのウェブサイトは、ダウングレ...
フランスのIDC業界の大手OVHは、シンガポールデータセンター(シンガポールにあるOVHの自社コンピ...
新浪科技は11月7日午後、360社が本日午後記者会見を開き、Sogouによるユーザーのプライバシー情...
digitalocean から最新のサブスクリプション メッセージ (2011~) が届きました。こ...
時代の発展とともに、インターネットは特に若者にとって生活必需品となりました。彼らは食べ物や飲み物なし...
Internet+ とは何ですか? Baidu 百科事典では次のように定義されています。「Inter...
これまで多くの友人がタイトルの設定方法を分析してきました。ほとんどの友人は、キーワードをうまく使うた...
暇な時に、過去数年間の入札経験について簡単にお話しし、皆さんと共有したいと思います。まずフローチャー...
これまでで最もかわいいバージョン、Kubernetes v1.30: Uwubernetes のリリ...
3月1日、Baiduは外部リンクを拒否するツールをリリースしました。青大根アルゴリズムに続いて、Ba...
2年間の熾烈な競争を経て、共同購入業界の競争は重要な時期を迎えています。今年最初の8か月間の主要共同...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスWeibo はネットユー...
SEO業務に従事するには、キーワード分析とサイクル予測という2つの能力を習得する必要があります。他の...
racknerd は、16 個の C セグメント、1Gbps の帯域幅へのアクセスを提供し、ほぼすべ...