0:00
recientemente se ha lanzado una campaña
0:01
de criptominería deominada Reedis Rider
0:04
tiene nombre de película pero así se
0:05
llama y principalmente explota
0:06
servidores ready mal configurados a lo
0:08
que tú te preguntarás ¿y qué es ready y
0:10
qué significa que están mal configurados
0:12
pues para eso hice el
0:14
video muy bien entendamos qué fue lo que
0:16
pasó y empecemos por las bases ¿qué es
0:18
Redis que entiendo que si estás viendo
0:19
esto pues sabes qué es pero por si acaso
0:20
redis como tal es una base de datos en
0:22
memoria de tipo clave valor y que se
0:24
emplea principalmente como sistema de
0:26
almacenamiento de caché pero de forma
0:27
predeterminada Redis no tiene
0:29
autenticación habilitada y escucha por
0:30
todas las interfaces de red dicho de
0:32
otra forma que si no lo configuras
0:33
adecuadamente cualquier persona de
0:35
internet podría conectarse y ejecutar
0:37
comandos como si fuera el administrador
0:38
y esto tiene su motivo técnico que no
0:40
indagaremos en él pero bueno en fin que
0:41
de forma predeterminada este compadre
0:43
funciona así y Redis Rider esta campaña
0:45
de criptominería aprovecha esta
0:47
situación y ten presente que aquí no
0:48
estamos hablando de que se detectó una
0:50
vulnerabilidad sino que se abusa del
0:51
hecho de que la configuración
0:52
predeterminada tiene este fallo de
0:54
seguridad que bueno se puede entender
0:55
como fallo de seguridad o meramente como
0:57
una mala configuración pero bueno te
0:59
pongo un ejemplo de cómo funciona en
1:00
este caso Red Raider primero lo que se
1:02
hace es un escaneo a gran escala lo que
1:03
se conoce también como horizontal
1:04
scanning como sabrás y en este punto
1:06
principalmente para identificar
1:07
dispositivos con el puerto 6379 que es
1:09
el puerto predeterminado para Retis que
1:11
vuelve repito esto no significa que el
1:13
Redis no pueda correr en otro puerto eso
1:14
es absurdo tú puedes ponerlo a correr en
1:16
el puerto que te dé la gana del rango de
1:17
puertos válidos digo pero el puerto
1:19
común para este servicio es este a lo
1:20
que como tal el ciberdelincuente al
1:22
identificar los potenciales servidores
1:23
Redis que ha encontrado después de este
1:25
escaneo intentará conectarse hacia ellos
1:27
ejecutando algún comando como info para
1:28
de esta forma consultarse por ejemplo
1:30
corre sobre un Linux para acto seguido
1:32
hacer un cambio del directorio de
1:33
trabajo ya que como tal Redis permite
1:35
cambiar el directorio de trabajo usando
1:36
comandos legítimos y seguidamente el
1:38
ciberdelincuente lo que haría ser usar
1:39
el comando set donde según lo que se ha
1:41
reportado podrá crear un fichero llamado
1:42
Apache que contendría las tareas
1:44
maliciosas que se van a ejecutar
1:45
básicamente estaré haciendo uso del
1:46
Cronta para ejecutar cada x tiempo las
1:48
tareas maliciosas que quiera hacer y
1:50
como tal esta campaña se está llevando a
1:51
gran escala y sobra decir que
1:53
generalmente no son ciberdelincuentes a
1:54
mano los que lo están haciendo
1:55
simplemente son bots automatizados donde
1:57
como tal se aprovechan de la
1:58
configuración predeterminada en redis
2:00
que el administrador que instaló de su
2:01
servicio pues no cambió ahora ¿qué
2:03
puedes hacer tú para protegerte lo más
2:05
básico viejo no expongas redings a
2:06
internet ya que de hecho este servicio
2:08
está ideado principalmente para que sea
2:09
solo accesible desde un local host desde
2:11
por ejemplo una red privada que esto
2:13
perfectamente en el fichero redis.com lo
2:14
puedes configurar adicionalmente que en
2:16
el mismo fichero puedes establecer una
2:17
contraseña para que te la pida para
2:19
acceder al servicio cosa que como te
2:20
dije antes de forma predeterminada no lo
2:22
tiene redí y de igual forma ya por
2:24
asegurar y si no interrumpe los procesos
2:26
en producción podrás desactivar o
2:27
renombrar comandos que puedan ser
2:28
abusados y ya si eres muy paranoico
2:30
puedes desactivar las tareas chrome pero
2:32
esto ya te digo es mucho paranoia porque
2:33
las tascron a nivel empresarial si se
2:35
suelen usar por lo que si tú usas este
2:36
servicio o en tu empresa se usa este
2:38
servicio ve y configúralo correctamente