【风险预警】关于Redis 未授权访问漏洞新利用方式的预警通知
摘要:
尊敬的腾讯云客户,您好:
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Redis 支持 SLAVEOF 命令,攻击者可以利用此命令实现在服务器上创建任意文件,同时由于 Redis 4.x 及以上版本新增了模块功能,通过加载外部扩展,可以在 Redis 中实现一个新的 Redis 命令,攻击者可利用引入的模块使受害服务器加载恶意的so文件,达到代码执行的目的。对于 Redis 4.0 以下版本(3.x,2.x),如果 redis-server 以 root 用户启动,攻击者仍可以在服务器上创建任意文件最终达到命令执行的目的。
【风险等级】
高风险
【漏洞风险】
任意文件写入,进而远程控制Redis服务器
【影响版本】
Redis 4.x,5.x 可加载扩展,导致执行恶意命令
Redis 2.x,3.x 可写入文件
【修复建议】
1)关闭 Redis 服务端口对外访问,可通过修改 redis.conf 配置文件中“bind 127.0.0.1”选项开启本地访问,保存配置文件并重启 Redis 服务(Redis作为内存数据库,一般只要监听在本机即可);
2)配置安全组,限定可以连接Redis服务器的源IP;
3)配置认证,也就是AUTH,设置强密码(8位以上,包含数字、字母大小写、特殊符号),密码会以明文方式保存在Redis配置文件中;
4) 禁止使用 root 权限启动 redis 服务。
【漏洞参考】