Paweł Goleń, blog

Słucham sobie podcastu (Daily Stormcasts) i nagle słyszę o tym: Over 18,000 Redis Instances Targeted by Fake Ransomware.

Ekhm, ekhm:

In a nutshell, this attack is performed by:

• Sending a CONFIG command telling Redis to store key/values on disk in the “/root/.ssh/authorized_keys” file
• Setting a key/value pair with the value being a public SSH key
• The attacker can now log into the Redis instance via SSH as the root user

Taaaak.... Tak to się kiedyś właziło przez Oracle – manipulacja TNS Listener tak, by nadpisać plik authorized_keys logami, które zawierały klucz publiczny atakującego. Świat się jednak nie zmienia.

Oryginał tego wpisu dostępny jest pod adresem Tak, ja to już chyba gdzieś widziałem

Autor: Paweł Goleń