关于绿盟科技

公司新闻

Redis漏洞致服务器被控制 绿盟RSAS快速支持检测

时间:2015-11-12 来源:绿盟科技 作者:绿盟科技 打印 字号:T|T

近日爆出某不知名团体利用Redis设计缺陷,针对国内互联网进行了全网性入侵事件,并导致上万家暴露的Redis服务器被成功入侵。这次大规模的攻击事件主要针对Linux主机,Redis服务器使用root权限启动,在没有配置认证的情况下可能导致Redis数据丢失,服务器被添加账号用于ssh远程登录。


      漏洞成因分析

      Redis是一款开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis的安全设计是在"Redis运行在可信环境"这个前提下做出的,在生产环境运行时应该通过应用程序进行中转,不允许外界直接连接到Redis服务器,一旦暴露在公网则可能造成非常大的安全隐患。Redis服务在默认配置下会绑定在6379端口,这导致其直接暴露在公网,可接受来自任何地址发送的请求,即在任何一个拥有公网IP的服务器上启动Redis服务器,都可以被外界直接访问。当Redis没有配置认证选项端口对外开放,并且以root权限运行时,未授权用户可轻易直接覆盖/root/.ssh/authorized_keys 上传公钥,用root登陆ssh服务器直接访问Redis服务并进行相关操作。


      漏洞影响

      一旦入侵成功,Redis数据会丢失,攻击者可直接添加账号用于ssh远程登录控制服务器,会给用户的 Redis 运行环境以及 Linux 主机造成安全风险,引发重要数据泄露。



      检测和防护

      绿盟科技建议企业用户及时使用安全评估工具检测自己的Redis 运行环境以及 Linux 主机是否存在该漏洞,尤其是自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 6379  Redis 端口的用户。目前,专业的绿盟远程安全评估系统(NSFOCUS RSAS)支持对该漏洞进行检测,建议用户及时到绿盟科技官网及时下载相关漏洞检测插件,对业务系统进行自查,防止漏洞被利用,造成业务损失。


      如果您的Redis 运行环境以及 Linux 主机被检测出该漏洞,绿盟科技安全专家建议通过如下三种方法进行修复和防范:

      1.  修改Redis绑定的IP

      如果只允许本机使用Redis服务那么需要在配置文件中修改bind参数,绑定127.0.0.1。

      如果其他主机需要访问Redis服务那么只绑定客户主机所在网络接口,最好不要绑定0.0.0.0。另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问Redis服务。

      2.  设置访问密码

      在 Redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。

      注:修改Redis的配置需要重启Redis才能生效。

      3.  禁止以root权限启动Redis

      使用普通用户启动Redis,并且禁止该用户启动shell,禁止使用root用户启动Redis。




关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于20004月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

      有关绿盟科技的详情请参见: http://www.nsfocus.com.cn/