Эксперты компании Risk Based Security обнаружили с помощью поисковика Shodan более 6 тыс. серверов Redis, скомпрометированных злоумышленниками. Redis – от REmote DIctionary Server является одной из самых популярных NoSQL баз данных, когда-то спонсируемой VMware и Pivotal Software.
Вооружившись клиентом, исследователи обнаружили, что большинство проиндексированных поисковиком серверов были скомпрометированы. Общим для всех взломанных баз данных было ключевое поле “crackit”, содержащее один и тот же SSH ключ с email адресом ryan@exploit.im. Ключ crackit присутствовал на некоторых серверах как минимум 6 месяцев. Дальнейшее исследование показало, ключ crackit использовался в эксплоите к уязвимости в Redis сервере, обнаруженной в 2015 г. По результатам сканирования 30239 серверов Redis с помощью Shodan исследователи сумели получить следующую статистику:
Скомпрометированные серверы: 6,338
Уникальные ASN: 838
Уникальные ISP: 1,024
Уникальные хосты: 2,262
Уникальные домены: 961
Уникальные версии Redis: 106
Уникальные ОС: 5
Уникальные ORG: 1,121
Страны: 87
Уникальные ключи: 7
Уникальные email-адреса: 14
Уникальные SSH: 40
Причина возникшей утечки – отсутствие механизмов авторизации в версиях Redis до 3.2. (Risk Based Security/NovostIT)
