研究者らは、TLS を使用して暗号化されておらず、パスワードで保護されていない、セキュリティ保護されていない Redis インスタンスをクラウド内に約 8,000 個発見しました。 Redis はもともと信頼できる環境で使用するように設計されました。インターネットやモノのインターネットでの使用が許可されると、攻撃者は安全でない Redis サーバーを使用して、SQL インジェクション、クロスサイト攻撃、悪意のあるファイルのアップロード、リモート コード実行などの攻撃を開始します。 Redis とは何ですか?Redis は Remote Dictionary Server の略で、データベースやデータ キャッシュなどでよく使用されるオープン ソースのメモリ データ ストレージ構造です。Redis はメモリ内に常駐するため、リアルタイム チャット、金融サービス、ヘルスケア、ゲームなど、大量のリクエストを処理する必要があるアプリケーションに対して、ミリ秒単位の応答を提供できます。 2018年にはRedis上で9億個のコンテナが稼働していたと報告されています。ユーザーベースは広く、公式イメージは10億回以上ダウンロードされており、GitHub、Craigslist、Twitterなどの企業で使用されています。 Redis は、キャッシュを使用してクラウド ストレージ スペースを節約し、クラウドにデプロイすることもできます。 Redis 分析Shodan を使用して、世界中に 8,000 台を超える安全でない Redis サーバーが展開されていることがわかりました。一部は、AWS、Azure、Google Cloud などのパブリック クラウドにデプロイされています。次の表には、セキュリティ保護されていない Redis を備えた 50 を超えるクラウドのみがリストされています。 グローバル拠点: Redis の公式ドキュメントには次のように記載されています。 Redis は、信頼できる環境内の信頼できるクライアントによってアクセスされることを目的としています。 Redis をインターネットに直接公開したり、信頼できないクライアントが直接アクセスできるようにすると、Redis が危険にさらされます。 デフォルトでは、Redis はポート 6379 をリッスンします。SMTP プロトコルと同様に、このプロトコル通信は暗号化されません。 TLS 暗号化オプションはありますが、Redis のデフォルト設定ではありません。ユーザーは TLS を手動で有効にする必要があります。 Redis で TLS が有効になっている場合、攻撃者は送信されたデータを盗聴することはできません。ただし、TLS を有効にしても、Redis サーバーへの不正アクセスを防ぐことはできません。 redis.conf で requirepass を設定するか、CONFIG SET requirepass password を実行することで認証を有効にすることができます。認証パスワードはプレーンテキストで保存され、構成情報を見ることができるすべてのユーザーに表示されます。しかし、認証が設定されている場合でも、TLS が有効になっていない場合、攻撃者はスニッフィングによってパスワードを取得することができます。 ユーザーがキーコマンドを実行できないように制限するために、Redis ではコマンドを無効にするか、コマンドの名前を変更するという 2 つの方法が使用されます。 Redis ユーザーは、コマンドの名前を空の文字列に変更することで、コマンドを完全に無効にすることができます。 保護されていない Redis サーバーが公開されると、攻撃者は次のコマンドを使用する可能性があります。 デバッグセグメントフォールトこのコマンドは無効なメモリにアクセスし、Redis がクラッシュする可能性があります。攻撃者はこのコマンドを使用してサービス拒否攻撃を開始し、実行中の Redis をシャットダウンする可能性があります。 評価このコマンドは、サーバー上で LUA スクリプトを実行できます。 Redis は LUA サンドボックスを使用して特定の機能を制限し、リモート実行を防ぐために主要なライブラリをロードせず、任意のファイルを読み取れないように loadfile や dofile などの機能を無効にしています。 取得/設定攻撃者はこのコマンドを使用してデータを取得または変更することができます。 フラッシュホールこのコマンドは、すべてのデータベース内のすべてのキーをクリアまたは削除する可能性があり、その結果、データが失われます。 Redis 上のデータが正しくバックアップされていない場合も、サービス エラーが発生する可能性があります。 モニターこのコマンドは、サーバーによって処理されたリクエストを表示し、攻撃者がトラフィックをスニッフィングしてターゲット上の重要なファイルを探すために使用できます。 安全のヒントRedis のセキュリティを確保するには、次の対策が推奨されます。 1. Redis の展開場所と担当者のアクセス権設定を決定します。 |
<<: クラウドが AI へと移行する中、業界の主流メーカーはどのようにしてエコシステムをさらに進化させることができるでしょうか?
>>: Kubernetes ベースのマルチクラウドとハイブリッドクラウド
「我々は困難な変革期にある。成功しなければ、我々は消滅してしまうだろう」と、Qutoutiaoの内部...
[[384021]]この記事はWeChatの公開アカウント「Mu Xiaoma Nong」から転載...
Justhost は、ロシアの DataLine データセンターのルーティングが大幅に最適化され、当...
colocrossing.com 直系の VPS ブランドである chicagovps.net は、...
海外独立サーバー(海外独立サーバー)を安く買うならブラックフライデーの時期がベストかもしれません。商...
「四つの徳」とは、百校フォーラムの特別教授である王立群が説いた、人として、また物事を行う上での基準で...
アフィリエイトマーケティングといえば、長い間入札を運営している人も含めて、ほとんどの人がまず考えるの...
最近、Baiduはさまざまなレベルで継続的にアップデートされており、多くの規則や規制が追加されていま...
alwyzon(Hohl IT eUのブランド)は、オランダ(データセンターはオランダ東部の都市アペ...
Google と言えば、まず頭に浮かぶのは「模倣 Google」です。 Google が中国から撤退...
ソフト記事とは? ソフト記事とは、私たちが興味を持って文章を読んでいるときに突然広告を目にすることで...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています最近、ウェ...
クラウドコンピューティングはIT技術の分野で大きな進歩を遂げ、時代の流れをリードする新しい技術となっ...
「SEO」とは何ですか? SEO は検索エンジン最適化であり、インターネット マーケティングの重要な...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスSEO 最適化のテクニッ...