漏洩されたRedis Commanderが招くデータ侵害事故
漏洩されたRedis Commander が招かれるデータ侵害事故
Redis CommanderとはRedisサーバーに保存されているデータベースを管理するに使えるNode.jsウェブアプリケーションです。Redisのすべてのデータ型をウェブ基盤で編集でき、自動完成機能と文書の入出力機能を通じてエンジニアの利便性を高めるGUIツールです。一方、認証もないまま外部に漏洩されたRedis Commanderはハッカーにとって便利なリモートデータの乗っ取りツールとして使われる可能性もあります。このようなRedis データベース の特性で、外部に漏洩されているRedis Commanderは不認可の外部ユーザーにもすべてのデータベースに対するコントロール権を渡せます。これは、非常に深刻なデータ侵害の事故へつながれることです。
ファビコンでRedis Commanderサーバーを見つける方法
Criminal IPのfaviconフィルターはウェブサイトのファビコンハッシュを検索してIPアドレスを照会できる機能です。これに基づいて、Redis Commanderのファビコンハッシュを検索してみたら、総合211個のRedis Commanderを使用しているIPアドレスが確認されました。
ご参照:ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知
favicon: -32e1326
https://www.criminalip.io/ja/asset/search?query=favicon%3A+-32e1326
照会されたRedis Commanderサーバーの検索結果の中で、あるIPへアクセスしてみると、実際のRedis Commanderサーバーページへアクセスされます。この中で、一部のサーバーには、特定ユーザーのトークンとログインクッキーとみられる敏感な データベース 情報が何の認証もないまま公開されていました。
タイトル検索で漏洩されたRedis Commanderサーバーを見つける方法
また、Redis Commanderサーバーを見つける他の方は、titleフィルター検索でRedis Commanderサーバーを使うIPアドレスを照会する方です。Criminal IPのtitleフィルターはウェブページのメタタグの中、タイトルにキーワードが含まれているIPアドレスの結果を表示します。
[Criminal IP Search 101 – 脆弱なRedis Commanderサーバーを見つける方法]
title: Redis Commander
https://www.criminalip.io/ja/asset/search?query=title%3A+Redis+Commander
この中には別の認証もせず、ハッシュで保存されているアップデートに関するデータを見れるページも含まれています。
別の認証のないまま、外部に公開されているデータストレージサーバー
上のように、放置されたまま、外部に漏洩されているRedis Commanderはすなわち、不認可の外部者へRedis データベース サーバーに対するコントロール権を全部渡せることを示します。さらに、様々なRedisデータ型の中で、上のケースのように、ページクッキー情報とユーザーのログインに関するクレデンシャル情報が漏洩される場合も多いです。もし、このように外部に漏洩されている管理者のクッキー情報をハッカーが横取りしたら、管理者の権限でウェブページに漏洩されていなかったメニューや権限までアクセスできるようになります。
このように放置されたRedis Commanderは単純なデータ漏洩事故を超える深刻なハッキング被害を招きかねないです。詳しい内容はAPIキー 一つで起こる個人情報漏れ、そして造作でもお読みいただけます。
オープンソースサービスは誰でも容易にアクセスできるところでサービスを利用するコストがあまりかからなく、簡単に使えるという長所で多くの人々に使われています。一方、誰でも容易にアクセスできるため、正しい管理と点検が行われない場合は、ハッカーの攻撃対象になりえる短所も存在します。従って、サーバー管理者の繊細な注意と攻撃対象領域に対する定期的なセキュリティ点検が必要です。
そのほかにも、漏洩されたオープンソースCI/CDサーバーを検知する方法に関する投稿も書かれているため、共にお読みください。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja