Redis远程命令执行漏洞(CNVD-2019-21763)预警,腾讯御界支持检测

2019-07-11 17:57:19
近日,Redis 被爆出Redis 4.x/5.x 版本存在主从同步命令执行漏洞,攻击者通过构造特定的请求实现漏洞利用,成功利用漏洞可在目标服务器上实现Getshell,风险较高。目前漏洞的利用方式已被公开。

【漏洞简介】

近日,Redis 被爆出Redis 4.x/5.x 版本存在主从同步命令执行漏洞,攻击者通过构造特定的请求实现漏洞利用,成功利用漏洞可在目标服务器上实现Getshell,风险较高。目前漏洞的利用方式已被公开。

Redis介绍】

Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API

【风险评级】高危

【影响范围】Redis 4.X/5.X

【漏洞分析】

由于Redis 4.x以及之后的版本,Redis新增了模块功能,用户可以通过外部拓展实现用户需要的功能,这样就可以在Redis中实现一个新的Redis命令。攻击者可以利用此功能(由Redis的主机实例通过fullresync同步到从机),使被攻击机加载恶意的模块.so文件,从而实现远程命令执行。

【漏洞复现】

在靶机上,搭建环境redis 5.0版本并正常启动


在攻击机上执行公开的POC进行漏洞利用


运行POC后,可以看到,直接在攻击上就可以实现远程命令执行,获取到靶机上的信息等

【修复建议】

1.    目前,Redis官方暂未发布修复补丁,临时缓解方案如下:

1)     禁止外部访问Redis 服务端口;

2)     禁止使用root权限启动Redis服务;

3)     修改配置文件,限制访问Redis服务器的IP地址(bind 127.0.0.1或指定IP

2.      腾讯御界高级威胁检测系统已支持检测此类攻击


最新资讯