近2000個etcd服務密碼在公網洩露,可能成為黑客和詐騙者的溫床。數千臺運行etcd的服務器在互聯網上公開用戶憑據。
據安全研究人員Giovanni Collazo稱,通過Shodan搜索引擎進行的快速查詢顯示,共有2284個etcd服務器洩露密碼,其中包括cms_admin,mysql_root和postgres服務器基礎架構所需的密碼和密鑰。
在一篇博客文章中,科拉佐說至少有750mb的洩露數據可以在線獲得。
Etcd是一種允許通過群集存儲數據的數據庫,高可用的鍵值存儲系統。開源系統能夠存儲不同服務器和應用程序所需的憑證,並且隨著應用程序可以將數據讀取和寫入管理系統,跨服務器和網絡的重新配置變得更加簡化了。
在etcd 2.1之前,該軟件是一個完全開放的系統,任何有權訪問API的人都可以更改密鑰。此功能現在默認關閉,但安全措施不嚴格。 為了驗證他的發現,Collazo編寫了一個簡單的腳本,稱為etcd API,並要求下載所有公開可用的密鑰。
“ GET http://:2379 / v2 / keys /?recursive = true ”
在開放互聯網上發現的2,284臺服務器中,存在洩露密碼的至少有1,485臺。
然後幾個基本的搜索結果顯示,“洩露中包含了各種數據庫的密碼,AWS密鑰以及API密鑰和一系列服務的秘密”。
總共可以下載8781個密碼,650個AWS密鑰,其他服務的23個密鑰以及8個私鑰。
“我沒有測試任何證書,但如果我不得不猜測我會猜測至少有一些應該可以利用,這是可怕的部分,”研究人員說。“只需要幾分鐘時間就可以完成備份的,任何人都可能獲得數百個可用於竊取數據或執行勒索軟件攻擊的數據庫證書列表。”
Collazo還表示,由於開放訪問權限,攻擊威脅可能會使用API寫入服務器。
“攻擊者可能會用它來改變etcd中的數據,並且可能會混淆配置,甚至可能是身份驗證,或者它可能被用來存儲來自其他攻擊的洩露數據。”研究人員補充道。
研究員的調查結果是有效的,在進行他自己的測試之後,還發現了一些糟糕的安全措施,例如使用“1234”作為通過etcd存儲的密碼。
Collazo建議數據庫管理員不應允許通過公網上訪問etcd構建,並考慮更改默認關閉行為以阻止陌生人讀寫到etcd服務器。
閱讀更多 互聯網企業安全 的文章
