Redis ແຈ້ງເຕືອນຊ່ອງໂຫວ່ລະດັບຮ້າຍແຮງ ຜູ້ຄຸມຄອງລະບົບຄວນຕິດຕັ້ງອັບເດດແກ້ໄຂທັນທີ

ນັກຄົ້ນຄວ້າຈາກ Wiz ທີ່ຄົ້ນພົບຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພນີ້ໃນງານ Pwn2Own Berlin ໃນເດືອນພຶດສະພາ 2025 ແລະ ຕັ້ງຊື່ວ່າ “RediShell” ໄດ້ເປີດເຜີຍວ່າ ຫຼັງຈາກຍຶດຄອງເຊີບເວີ Redis ໄດ້ສຳເລັດ, ຜູ້ໂຈມຕີສາມາດ:

  • ລັກຂໍ້ມູນການຢືນຢັນຕົວຕົນ (credentials)
  • ຕິດຕັ້ງມັນແວ ຫຼືເຄື່ອງມືຂຸດເງິນດິຈິຕອນ (cryptocurrency)
  • ດຶງຂໍ້ມູນສຳຄັນ ຈາກ Redis
  • ເຄື່ອນຍ້າຍໄປຫາລະບົບອື່ນ ພາຍໃນເຄືອຂ່າຍຂອງຜູ້ຖືກໂຈມຕີ
  • ນຳໃຊ້ຂໍ້ມູນທີ່ລັກມາໄດ້ ເພື່ອເຂົ້າເຖິງບໍລິການຄລາວອື່ນໆ

ເຖິງແມ່ນວ່າ ການໂຈມຕີຈະຕ້ອງມີການຢືນຢັນຕົວຕົນກ່ອນ, ແຕ່ Wiz ໄດ້ຄົ້ນພົບເຊີບເວີ Redis ທີ່ເປີດການໃຊ້ງານຜ່ານອິນເຕີເນັດ ປະມານ 330,000 ເຄື່ອງ, ເຊິ່ງໃນນັ້ນ ມີຢ່າງໜ້ອຍ 60,000 ເຄື່ອງ ທີ່ບໍ່ຕ້ອງການການຢືນຢັນຕົວຕົນໃດໆ.

ຄຳແນະນຳດ້ານຄວາມປອດໄພ:

1. ອັບເດດທັນທີ: Redis ແລະ Wiz ໄດ້ຮຽກຮ້ອງໃຫ້ຜູ້ຄຸມຄອງລະບົບ ຕິດຕັ້ງອັບເດດຄວາມປອດໄພ ທີ່ອອກໃນວັນສຸກທີ່ຜ່ານມາທັນທີ, ໂດຍໃຫ້ຄວາມສຳຄັນກັບເຊີບເວີ ທີ່ເປີດການໃຊ້ງານ ຜ່ານອິນເຕີເນັດກ່ອນ.

ເວີຊັນທີ່ແກ້ໄຂແລ້ວ:

  • Redis Software: 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 ຂຶ້ນໄປ
  • Redis OSS/CE: 8.2.2, 8.0.4, 7.4.6, 7.2.11 ຂຶ້ນໄປ
  • Redis Stack: 7.4.0-v7, 7.2.0-v19 ຂຶ້ນໄປ

2. ມາດຕະການເພີ່ມເຕີມ:

  • ເປີດໃຊ້ການຢືນຢັນຕົວຕົນ (authentication)
  • ປິດການໃຊ້ງານ Lua scripting ແລະ ຄຳສັ່ງທີ່ບໍ່ຈຳເປັນ
  • ດຳເນີນການ Redis ດ້ວຍບັນຊີ ທີ່ບໍ່ແມ່ນ root
  • ເປີດການບັນທຶກຂໍ້ມູນ (logging) ແລະ ການຕິດຕາມກວດສອບ (monitoring)
  • ຈຳກັດການເຂົ້າເຖິງໃຫ້ແກ່ເຄືອຂ່າຍ ທີ່ຮອງຮັບເທົ່ານັ້ນ
  • ນຳໃຊ້ firewall ຫຼື VPCs ໃນການຄວບຄຸມການເຂົ້າເຖິງໃນລະດັບເຄືອຂ່າຍ

Redis ໄດ້ກາຍເປັນເປົ້າໝາຍ ທີ່ນິຍົມ ຂອງກຸ່ມແຮັກເກີ ທີ່ນຳໃຊ້ botnet ໃນການຕິດຕັ້ງມັນແວ ແລະ ເຄື່ອງມືຂຸດເງິນດິຈິຕອນ ເຊັ່ນ: P2PInfect, Redigo, HeadCrab ແລະ Migo ທີ່ມັກຈະເຂົ້າໂຈມຕີເຊີບເວີ ທີ່ບໍ່ມີການປ້ອງກັນ ຫຼື ຍັງບໍ່ທັນໄດ້ຮັບການອັບເດດ.

ອ້າງອີງ:

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances

354 Views