I recenti attacchi ai server Linux dovuti ad istanze di Redis accessibili dall’esterno

È risultato che i recenti attacchi ransomware noti come Fairware, sferrati nei confronti di server basati su Linux, sono stati resi possibili da istanze di Redis non sicure, in quanto accessibili dall’esterno, attraverso Internet. Una “leggerezza” imperdonabile a livello di impostazioni ha quindi permesso agli attacker di eliminare le cartelle web e, in alcuni casi, di installare del codice maligno.

Redis è, in sostanza, un key-value store open source utilizzato dagli sviluppatori di applicazioni web allo scopo di velocizzare il caching dei dati. Gli autori del tool in questione hanno configurato lo stesso in maniera tale che l’accesso a Redis risulti possibile esclusivamente a programmi client ritenuti attendibili, in esecuzione all’interno di un ambiente “trusted”. Di fatto, nelle relative raccomandazioni d’uso, i suoi sviluppatori indicano, in maniera inequivocabile, come le istanze di Redis non siano destinate ad essere esposte ad Internet, e quindi pubblicamente accessibili.

Tuttavia, i ricercatori di Duo Labs hanno individuato, online, ben 18.000 implementazioni di Redis non sicure e, conseguentemente, le prove del fatto che almeno 13.000 di esse erano state attaccate. Secondo Jordan Wright, di Duo Labs, non tutte le installazioni sottoposte ad attacco risultano compromesse; le istanze prese di mira, ad ogni caso, sono potenzialmente in grado di esacerbare ulteriormente il problema.

Si sono lamentati, tra i primi, degli assalti subiti da parte di Fairware, vari utenti del forum di BleepingComputer; nella circostanza, gli aggressori hanno rimosso la directory web del server, per poi lasciare su quest’ultimo un link destinato a condurre verso un’apposita pagina – collocata su Pastebin – che ospita la richiesta di pagamento del riscatto. La forte somiglianza fra i numerosi, brutali attacchi condotti nei confronti dei webserver Linux è stata determinata, sia da parte di BleepingComputer che di Duo Labs, dopo aver debitamente comparato vari elementi: i testi delle note pubblicate online dagli estorsori, gli indirizzi IP da essi utilizzati, le chiavi SSH, e via dicendo.

Sebbene in molti messaggi gli attacker facciano esplicito riferimento al malware crittografico Fairware, apparentemente installato sul computer-vittima, nessuno è riuscito, per ora, a rilevare le effettive prove dell’infezione. Con ogni probabilità si è trattato, nell’occasione, di attacchi hacker; inizialmente, i ricercatori erano inclini a pensare che i malintenzionati avessero scelto il metodo degli attacchi brute-force nei confronti del protocollo SSH; i ricercatori di Duo Labs sono poi giunti alla conclusione che gli assalti informatici in questione si erano prodotti attraverso istanze di Redis di fatto esposte, accessibili dall’esterno.

“A quanto sembra, parlare di attacchi brute-force pare proprio essere una diagnosi errata, – sostiene Jordan Wright. – Le vittime, in pratica, notavano il verificarsi di un accesso non autorizzato tramite SSH, e ritenevano fosse questa la causa primaria dell’intrusione. Tuttavia, per ottenere l’accesso, gli attaccanti sfruttavano un software del tutto diverso, ovvero Redis, nei confronti del quale non si rivelavano affatto necessari gli attacchi brute-force”.

Duo Labs, dopo aver allestito un’apposita “trappola”, ha potuto osservare in che modo i malintenzionati conducevano l’attacco informatico in causa, definito dallo stesso Wright come “astuto” e particolarmente “sofisticato”. È emerso che il problema era semplicemente originato dal fatto che alcune istanze del tool Redis risultavano in pratica “esposte”, ovvero raggiungibili dall’esterno. La connessione a Redis consente ad un client di poter “impartire” comandi GET e SET relativamente ai dati custoditi, così come di recuperare informazioni sul sistema, oppure permette di effettuare cambi di configurazione da remoto. La ricerca espressamente eseguita attraverso il noto search engine Shodan ha poi evidenziato come la maggior parte delle implementazioni di Redis connesse operino attraverso versioni del software ormai obsolete, mentre le versioni più recenti dello stesso offrono l’opportunità di avvalersi di una modalità protetta, in grado di bloccare e neutralizzare tale vettore di attacco.

Visto che risulta possibile modificare da remoto le impostazioni delle istanze di Redis che si rivelano vulnerabili, gli attacker, in sostanza, hanno potuto configurare il tool in maniera tale da “salvare” su disco, all’interno della cartella di root, un paio di key/value che “puntavano” alla loro chiave SSH pubblica; questo, di fatto, consentiva loro di ottenere l’accesso a Redis con privilegi di root.

I ricercatori di Duo Labs hanno individuato una chiave denominata “crackit” sulla maggior parte degli host infetti che contenevano la stessa identica chiave SSH pubblica. Commentando con Threatpost la specifica circostanza, Lawrence Abrams, fondatore di BleepingComputer, ha confermato che, nel corso degli attacchi Fairware, tutta una serie di vittime aveva rilevato la presenza della chiave SSH “crackit”, ed aveva identificato gli stessi identici indirizzi IP. Il research team Duo Labs, da parte sua, ha osservato attacchi provenienti da 15 diversi indirizzi IP e, secondo quanto asserisce Wright, ha ugualmente individuato circa 4.000 istanze di un’ulteriore chiave SSH, denominata “qwe”.

“A nostro avviso si tratta, in questo caso, dell’opera di un altro malintenzionato, che aveva provveduto al download e all’esecuzione di malware DDoS, – ha dichiarato Wright. – Attualmente, se un’istanza di Redis viene hackerata ricorrendo a tali modalità (aggiunta di una chiave SSH, al fine di ottenere l’accesso di root), il modulo risulta già pienamente compromesso. Gli aggressori possono “entrare” attraverso l’SSH e, in tal modo, compromettere totalmente il dispositivo. Un simile metodo di automatizzazione, nei confronti di un processo così semplice, non preannuncia proprio nulla di buono, anzi, genera spesso un vero e proprio disastro. È, in pratica, game over”.

Non si raccomanda in alcun modo, alle vittime di Fairware, di provvedere al pagamento del riscatto richiesto dagli estorsori, visto che questi ultimi, molto probabilmente, sono dei truffatori, e non restituiranno mai i file sottratti. Allo stato attuale, non sono state rilevate prove di effettive operazioni di cifratura dei dati, né di conservazione di copie di backup degli stessi.

“È davvero importante il fatto di essere riusciti ad identificare, su Internet, numerose istanze di Redis non aggiornate, o implementate senza tenere in debita considerazione le necessarie regole di sicurezza, – ha aggiunto, in conclusione, Jordan Wright. – Sarei davvero interessato ad analizzare altri attacchi “ransomware” di tal genere, in cui si prevede, da parte dei malfattori, la semplice eliminazione dei file, e non la codifica degli stessi”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *