ນັກຄົ້ນຄວ້າຈາກ Wiz ທີ່ຄົ້ນພົບຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພນີ້ໃນງານ Pwn2Own Berlin ໃນເດືອນພຶດສະພາ 2025 ແລະ ຕັ້ງຊື່ວ່າ “RediShell” ໄດ້ເປີດເຜີຍວ່າ ຫຼັງຈາກຍຶດຄອງເຊີບເວີ Redis ໄດ້ສຳເລັດ, ຜູ້ໂຈມຕີສາມາດ:
- ລັກຂໍ້ມູນການຢືນຢັນຕົວຕົນ (credentials)
- ຕິດຕັ້ງມັນແວ ຫຼືເຄື່ອງມືຂຸດເງິນດິຈິຕອນ (cryptocurrency)
- ດຶງຂໍ້ມູນສຳຄັນ ຈາກ Redis
- ເຄື່ອນຍ້າຍໄປຫາລະບົບອື່ນ ພາຍໃນເຄືອຂ່າຍຂອງຜູ້ຖືກໂຈມຕີ
- ນຳໃຊ້ຂໍ້ມູນທີ່ລັກມາໄດ້ ເພື່ອເຂົ້າເຖິງບໍລິການຄລາວອື່ນໆ
ເຖິງແມ່ນວ່າ ການໂຈມຕີຈະຕ້ອງມີການຢືນຢັນຕົວຕົນກ່ອນ, ແຕ່ Wiz ໄດ້ຄົ້ນພົບເຊີບເວີ Redis ທີ່ເປີດການໃຊ້ງານຜ່ານອິນເຕີເນັດ ປະມານ 330,000 ເຄື່ອງ, ເຊິ່ງໃນນັ້ນ ມີຢ່າງໜ້ອຍ 60,000 ເຄື່ອງ ທີ່ບໍ່ຕ້ອງການການຢືນຢັນຕົວຕົນໃດໆ.
ຄຳແນະນຳດ້ານຄວາມປອດໄພ:
1. ອັບເດດທັນທີ: Redis ແລະ Wiz ໄດ້ຮຽກຮ້ອງໃຫ້ຜູ້ຄຸມຄອງລະບົບ ຕິດຕັ້ງອັບເດດຄວາມປອດໄພ ທີ່ອອກໃນວັນສຸກທີ່ຜ່ານມາທັນທີ, ໂດຍໃຫ້ຄວາມສຳຄັນກັບເຊີບເວີ ທີ່ເປີດການໃຊ້ງານ ຜ່ານອິນເຕີເນັດກ່ອນ.
ເວີຊັນທີ່ແກ້ໄຂແລ້ວ:
- Redis Software: 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 ຂຶ້ນໄປ
- Redis OSS/CE: 8.2.2, 8.0.4, 7.4.6, 7.2.11 ຂຶ້ນໄປ
- Redis Stack: 7.4.0-v7, 7.2.0-v19 ຂຶ້ນໄປ
2. ມາດຕະການເພີ່ມເຕີມ:
- ເປີດໃຊ້ການຢືນຢັນຕົວຕົນ (authentication)
- ປິດການໃຊ້ງານ Lua scripting ແລະ ຄຳສັ່ງທີ່ບໍ່ຈຳເປັນ
- ດຳເນີນການ Redis ດ້ວຍບັນຊີ ທີ່ບໍ່ແມ່ນ root
- ເປີດການບັນທຶກຂໍ້ມູນ (logging) ແລະ ການຕິດຕາມກວດສອບ (monitoring)
- ຈຳກັດການເຂົ້າເຖິງໃຫ້ແກ່ເຄືອຂ່າຍ ທີ່ຮອງຮັບເທົ່ານັ້ນ
- ນຳໃຊ້ firewall ຫຼື VPCs ໃນການຄວບຄຸມການເຂົ້າເຖິງໃນລະດັບເຄືອຂ່າຍ
Redis ໄດ້ກາຍເປັນເປົ້າໝາຍ ທີ່ນິຍົມ ຂອງກຸ່ມແຮັກເກີ ທີ່ນຳໃຊ້ botnet ໃນການຕິດຕັ້ງມັນແວ ແລະ ເຄື່ອງມືຂຸດເງິນດິຈິຕອນ ເຊັ່ນ: P2PInfect, Redigo, HeadCrab ແລະ Migo ທີ່ມັກຈະເຂົ້າໂຈມຕີເຊີບເວີ ທີ່ບໍ່ມີການປ້ອງກັນ ຫຼື ຍັງບໍ່ທັນໄດ້ຮັບການອັບເດດ.
ອ້າງອີງ:
