漏洩されたRedis Commanderが招くデータ侵害事故

Redis（Remote Dictionary Server）とは、2009年Salvatore Sanfilippoによって開発されたBSDライセンス基盤のオープンソースプロジェクトで、キーを介した完全一致の検索を通じてデータを照会するキー・バリュー型 データベース です。RedisはメモリーベースのDBMSであるため、一般ディスクのストレージを使う データベース に比べてより速いスピードを保証します。Hashes、List、Setなどの様々な資料型を扱い、データを柔軟に管理できるため、多くのところで使われています。代表的には主に、Facebook、Instagram、Tumblr、KakaoTalkなど、大量のメッセージをリアルタイムで処理すべきのシステムでResult Cacheとデータを保存するに使われています。さらに、小規模のサービスおよび早いレスポンスの処理のためのシステムでストレージとして使用されています。

Redis CommanderとはRedisサーバーに保存されているデータベースを管理するに使えるNode.jsウェブアプリケーションです。Redisのすべてのデータ型をウェブ基盤で編集でき、自動完成機能と文書の入出力機能を通じてエンジニアの利便性を高めるGUIツールです。一方、認証もないまま外部に漏洩されたRedis Commanderはハッカーにとって便利なリモートデータの乗っ取りツールとして使われる可能性もあります。このようなRedis データベース の特性で、外部に漏洩されているRedis Commanderは不認可の外部ユーザーにもすべてのデータベースに対するコントロール権を渡せます。これは、非常に深刻なデータ侵害の事故へつながれることです。

Criminal IPのfaviconフィルターはウェブサイトのファビコンハッシュを検索してIPアドレスを照会できる機能です。これに基づいて、Redis Commanderのファビコンハッシュを検索してみたら、総合211個のRedis Commanderを使用しているIPアドレスが確認されました。

ご参照：ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知

Criminal IPのIT資産検索でfavicon: -32e1326を検索した結果

外部にそのまま漏洩されているRedis データベース 内のKeyデータ

また、Redis Commanderサーバーを見つける他の方は、titleフィルター検索でRedis Commanderサーバーを使うIPアドレスを照会する方です。Criminal IPのtitleフィルターはウェブページのメタタグの中、タイトルにキーワードが含まれているIPアドレスの結果を表示します。

Criminal IPのIT資産検索で "title: Redis Commander" を検索すると、総384個のRedis Commanderサーバーを使っているIPアドレスが確認されました。

Criminal IPのIT資産検索でtitle: Redis Commanderを検索した結果

別の認証のないまま、外部に公開されているデータストレージサーバー

上のように、放置されたまま、外部に漏洩されているRedis Commanderはすなわち、不認可の外部者へRedis データベース サーバーに対するコントロール権を全部渡せることを示します。さらに、様々なRedisデータ型の中で、上のケースのように、ページクッキー情報とユーザーのログインに関するクレデンシャル情報が漏洩される場合も多いです。もし、このように外部に漏洩されている管理者のクッキー情報をハッカーが横取りしたら、管理者の権限でウェブページに漏洩されていなかったメニューや権限までアクセスできるようになります。

このように放置されたRedis Commanderは単純なデータ漏洩事故を超える深刻なハッキング被害を招きかねないです。詳しい内容はAPIキー 一つで起こる個人情報漏れ、そして造作でもお読みいただけます。

オープンソースサービスは誰でも容易にアクセスできるところでサービスを利用するコストがあまりかからなく、簡単に使えるという長所で多くの人々に使われています。一方、誰でも容易にアクセスできるため、正しい管理と点検が行われない場合は、ハッカーの攻撃対象になりえる短所も存在します。従って、サーバー管理者の繊細な注意と攻撃対象領域に対する定期的なセキュリティ点検が必要です。

そのほかにも、漏洩されたオープンソースCI/CDサーバーを検知する方法に関する投稿も書かれているため、共にお読みください。