趨勢科技發現有8,000個不安全Redis執行實例在世界各地運行著,有些甚至部署到公共雲上。這些Redis執行實例並未使用TLS加密也沒有密碼保護。根據開發者的說法,Redis原本是設計在受信任環境裡使用。如果放任其不受保護並允許其面向外部網路或整合進物聯網(IoT)裝置,則網路犯罪份子就能夠找到Redis伺服器並用來發動如SQL注入、跨站腳本、惡意檔案上傳甚至是遠端攻擊程式碼執行等攻擊。駭客還可以查看、存取和修改暴露Redis執行實例的儲存資料。過去曾發生過名為Fairware的假勒索病毒攻擊了被駭Linux伺服器上18,000個不安全的Redis執行實例。
我們已經與Redis取得聯繫,他們分享了Redis有保護模式的配置,此配置自2017年7月發表的Redis 4.0就開始提供。同時也已經向下移植到之前的版本Redis 3.2.0。如果使用預設配置運行Redis而沒有設置密碼保護時就會進入保護模式。在此模式下,Redis只會回應來自Loopback介面的查詢,如果從其他IP地址連到Redis的客戶端則會收到錯誤訊息。這是種額外的保護措施來減少不安全Redis執行實例遭受外部網路連線的機會。但Redis警告說,儘管在保護模式下會發送錯誤訊息,系統管理員仍然可以忽略這些訊息,手動綁定所有介面,甚至完全停用保護模式。
Redis還分享了他們計劃在2020年4月發表的Redis 6.0穩定版,此版本會具備存取控制列表(ACL)和TLS,有可以顯著地提高Redis安全性。
什麼是Redis?
Redis是Remote Dictionary Server的縮寫,是款熱門的開放原始碼記憶體內資料存放區,被用於資料庫、快取和訊息代理程式。因為Redis駐留在記憶體內,因此能夠為多種需要處理大量連線的應用程式(如聊天室和即時通、金融服務、醫療保健和遊戲等)提供短於毫秒的回應速度。
