La popular plataforma de base de datos de código abierto Redis tiene un problema de seguridad: Decenas de miles de servidores que tienen direcciones IP públicas están infectados con software malicioso.

    3 tendencias que marcarán el futuro del mercado de bases de datosEl CEO de Redis Labs, Ofer Bengal, habló con ConsejoTecnologico.com sobre el auge del código abierto en el mercado de bases de datos, el crecimiento de las bases de datos no relacionales, y la entrega de la Base de Datos como Servicio.

    La investigación de la empresa de seguridad Incapsula ha encontrado algunos problemas de seguridad de Redis que deberían preocupar a todos los que utilizan la popular plataforma de base de datos de código abierto: El 75% de los servidores públicos están infectados con malware.

    Más información sobre ciberseguridad

    Con el fin de comprender el alcance del problema, Incapsula instaló un honeypot de cara al público, y en menos de 24 horas había sido escaneado e infectado con malware que utilizaba el servidor para extraer criptocurrency.

    Incapsula consultó a todos los servidores Redis de acceso público que pudo encontrar, y de los que respondieron encontró que más de dos tercios estaban infectados con claves maliciosas, y el 75% estaban infectados con valores maliciosos.

    «Los ataques incluían inyección SQL, secuencias de comandos en varios sitios, cargas de archivos maliciosos, ejecuciones remotas de código, etc. Estas cifras sugieren que los atacantes están aprovechando los servidores Redis vulnerables para montar más ataques en nombre del atacante», dijo Incapsula.

    Aquellos que usan servidores Redis tienen razón al preocuparse por la increíblemente alta tasa de infección entre los que tienen direcciones IP públicas, pero hay algo más que una simple vulnerabilidad de software: Los servidores Redis no están diseñados para ser públicos en absoluto.

    Por qué los servidores Redis de cara al público son un desastre de malware

    El artículo de Incapsula sobre las vulnerabilidades de la Redis es claro en un aspecto central: Los servidores de Redis no están destinados a ser expuestos públicamente, algo que Redis dice en su página de Seguridad.

    «Redis está diseñado para ser accedido por clientes de confianza dentro de entornos de confianza. Esto significa que normalmente no es una buena idea exponer la instancia de Redis directamente a Internet o, en general, a un entorno en el que los clientes no confiables puedan acceder directamente al puerto TCP de Redis o al socket UNIX,» afirma el sitio web de Redis.

    VER: Política de seguridad de redes (Tech Pro Research)

    La página de seguridad de Redis añade que «Redis no está optimizada para una máxima seguridad, sino para un máximo rendimiento y simplicidad». Dado que, junto con la mención de Incapsula de que Redis no soporta encriptación, no tiene control de acceso y almacena datos en texto plano, la respuesta a «por qué hay tantos servidores Redis infectados» es clara: no deberían ser accesibles fuera de una red local.

    Incapsula también encontró que los servidores Redis de cara al público, infectados o no, contienen «claves SSH privadas que pueden utilizarse para acceder a los servidores, certificados que pueden utilizarse para descifrar el tráfico de la red, IIP y datos más sensibles», todos los cuales no están cifrados y son accesibles para los usuarios remotos.

    Cómo proteger su servidor Redis

    La cosa más simple, más obvia y más efectiva que puede hacer a su servidor Redis de cara al público es desconectarlo. Este es un primer paso importante, pero Redis da otras sugerencias de seguridad en la página enlazada arriba, todas las cuales deben ser consideradas.

    • El control de acceso no existe realmente en Redis, pero se puede activar una «pequeña capa» de autenticación en el archivo redis.conf. Un administrador de Redis establece una contraseña en redis.conf, que los usuarios tienen que usar cuando intentan realizar una consulta de Redis escribiendo AUTH seguido de la contraseña.
    • «Para implementar configuraciones en las que las partes de confianza puedan acceder a una instancia de Redis a través de Internet u otras redes no confiables, se debe implementar un nivel adicional de protección, como un proxy SSL. Recomendamos spiped.»
    • Los comandos Redis pueden ser renombrados, lo que Redis recomienda hacer para evitar que usuarios no autorizados manipulen un servidor. Los administradores pueden renombrar comandos dentro del archivo redis.conf usando la sentencia «renombrar-comando (NOMBRE ORIGINAL DE COMANDO) (NOMBRE NUEVO)». Los comandos también pueden deshabilitarse usando el mismo argumento renombrar-comando con «» en lugar del nuevo nombre.
    • Monitoree su servidor Redis para detectar el consumo irregular de CPU y otros cambios sospechosos.
    • Ejecute Redis con el menor número de permisos posible para evitar que un usuario no autorizado realice cambios. Redis recomienda crear un usuario no privilegiado específicamente para ese propósito.

    Actualización 6/1/18: El Director Técnico de Redis Labs Yiftach Shoolman dijo a ConsejoTecnologico.com que «Redis sólo estará abierto al público si alguien deshabilita específicamente el modo protegido y permite enlazar con la interfaz pública sin establecer una contraseña», y ambas opciones están habilitadas por defecto. Salvatore Sanfillipo, creador de Redis, agregó que muchas imágenes de Redis VM de terceros han sido creadas con esas herramientas de seguridad por defecto desactivadas, y se distribuyen en un estado vulnerable, algo sobre lo que Redis Labs no tiene control.

    • El 75% de los servidores de bases de datos Redis con una dirección IP pública están infectados por malware, según una investigación de la empresa de seguridad Incapsula.
    • Los servidores Redis son ligeros en seguridad para aumentar el rendimiento y no están diseñados para ser accesibles fuera de una LAN. Aquellos con servidores Redis públicos deben eliminarlos de Internet, comprobar si contienen malware e implementar otras prácticas de seguridad recomendadas por Redis.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    mismo

    Véase también