Как уже сообщалось ранее, из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based Security проанализировали публично доступные 30239 экземпляров СУБД Redis и пришли к выводу, что на 6338 серверах наблюдаются следы вредоносной активности.

В частности, в БД имеется ключ «crackit» (или в единичных случаях «crackit_key», «qwe», «ck», «crack»), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с [email protected], 385 c [email protected], 211 c [email protected] и т.п. SSH-ключ злоумышленников сохранён на сервере в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH и получить полный доступ к системе.

Появление данной активности соотносится с выявлением в прошлом году уязвимости (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не спешат применять обновление и в сети можно встретить 106 различных уязвимых версий Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной версии и применении надлежащих методов разграничения доступа. В простейшем случае факт компрометации можно выявить по наличию в БД ключа «crackit».