Se ha descubierto una ola de ataques contra servidores Linux, llamada Fairware, que utilizan instalaciones inseguras de Redis con salida a Internet para eliminar carpetas web e instalar códigos maliciosos.
Redis es una herramienta de código abierto que emplean los desarrolladores de aplicaciones web para la obtención rápida de datos. Los desarrolladores de la herramienta configuraron Redis para que sólo puedan usarla los clientes de confianza desde ambientes seguros, e insisten en que sus actividades no deben exponerse en Internet.
Sin embargo, los investigadores de Duo Labs encontraron 18.000 implementaciones inseguras de Redis conectadas a Internet y descubrieron evidencias de ataques contra 13.000 de ellas. Jordan Wright, de Duo Labs, explicó que si bien no se habían comprometido todos los sistemas atacados, es posible que el problema se agrave con el tiempo.
Los foros de BleepingComputer informaron sobre el ataque de forma paralela a los informes de Duo Labs. En ambos casos, los atacantes eliminaban carpetas web de los servidores y dejaban un enlace a Pastebin con una nota pidiendo un rescate.
Los investigadores de Duo Labs y BleepingComputer aseguran que las comparaciones entre las notas de rescate y otras características, como las direcciones IP y claves SSH de los atacantes, demuestran que los ataques están conectados.
La nota de rescate urge a la víctima a tomar acción. Una nota que consiguió Duo Labs dice que los archivos han sido cifrados y exige dos bitcoins a cambio de la llave privada de descifrado. Otros ejemplares de la nota publicados en BleepingComputer dicen que los servidores están infectados con el programa chantajista Fairware y tienen una demanda similar de dos bitcoins para no filtrar los archivos a Internet. Los atacantes insisten en que las víctimas no los contacten para verificar el ataque o confirmar si tienen los archivos.
En ninguno de los casos hay rastros de que se haya dejado algún programa criptográfico en el equipo. Lo que sí pudieron hacer los atacantes es hackear los servidores Linux mediante las instancias de Redis. Al principio algunas víctimas creían que los atacantes podían acceder a los servidores forzando sus llaves SSH.
“Creo que no se dio un ataque por fuerza bruta”, dijo Wright. “Las víctimas vieron SSH que mostraba al atacante iniciando sesión y pensaron que eso era lo que hacía. Pero estaban explotando otros programas en Redis para ingresar, no necesitaron fuerza bruta “.
Duo Labs instaló un honeypot y se dio cuenta de que en realidad los atacantes estaban realizando un ataque “ingenioso”, dijo Wright.
El problema comienza cuando se exponen instancias de Redis a Internet. Los clientes suelen conectarse a estas instancias para emitir comandos GET y SET, recuperar información del sistema o realizar cambios de configuración a distancia. Durante una búsqueda de Shodan, Duo Labs descubrió que la mayoría de las instancias de Redis ejecutaban una versión antigua del programa; las versiones más nuevas incluyen un modo protegido que neutraliza este vector de ataque.
Como las instancias pueden reconfigurarse de forma remota, los atacantes configuraron Redis para guardar una clave/valor en el disco, en la carpeta raíz que dirige a su clave SSH pública, permitiéndoles iniciar sesión en Redis como usuario root.
Duo Labs encontró una clave llamada “crackit” que comparte la misma clave SSH con la mayor parte de los sistemas infectados. Lawrence Abrams, de BleepingComputer, le dijo a Threatpost que varias víctimas habían confirmado que veían la misma clave “crackit” SSH y las direcciones IP usadas en los ataques. Duo dijo que detectó ataques lanzados desde 15 direcciones IP. Wright dijo que otra clave, con el nombre de “qwe”, se había encontrado 4.000 veces.
“Creemos que esto es obra de un actor diferente que estaba descargando y ejecutando malware DDoS”, dijo Wright. “Cuando se compromete una instancia de Redis de esta manera (añadiendo una clave SSH para conseguir acceso root), se compromete el sistema entero. Solo hace falta usar la clave SSH para acceder al sistema de forma remota a través de una red y así comprometer el equipo por completo. No es bueno que algo tan simple también sea automático. Es una derrota inminente”.
Mientras se soluciona el problema, se aconseja a las víctimas que no paguen el rescate porque es posible que sea una estafa y los archivos se hayan eliminado. Los investigadores no han visto evidencias de que se hayan cifrado o copiado los archivos.
“Lo importante es que Redis está en Internet, sin actualizaciones e implementada de forma insegura”, dijo Wright. “Sería interesante ver si aparecen más de estos ataques ‘ransomware’ en los que se borra los datos en vez de cifrarlos”.
Fuentes: Threatpost
Ciertos ejemplares de Redis dejan pasar ataques contra servidores Linux