臺灣學術網路多所學術單位共 10 台 Redis 服務存取控制缺失，五台已遭入侵

Vulnerability Overview

ZDID: ZD-2026-00403
發信 Vendor: 臺灣學術網路
Title: 臺灣學術網路多所學術單位共 10 台 Redis 服務存取控制缺失，五台已遭入侵
Introduction: 十台 Redis 服務未實施存取控制，五台已遭植入惡意 cron，可能用於挖礦行為。

處理狀態

目前狀態

公開

Last Update : 2026/04/30

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2026/03/23 21:59:30 : 新提交 (由 DL56 更新此狀態)
2026/03/24 00:22:36 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 16:51:13 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 16:51:13 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 16:51:13 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/22 14:47:52 : 已修補 (由組織帳號更新此狀態)
2026/04/30 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00403
通報者：dinlon5566 (DL56)
風險：嚴重
類型：程式碼執行 (Code Execution)

參考資料

攻擊者可藉由此漏洞執行惡意程式碼，進行如操縱網站作業系統等惡意行為。

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

漏洞說明

本漏洞由 ZD-2026-00399 被勒索端點延伸掃描。

以Redis 服務無 requirepass 設定，且 CONFIG 指令未被限制，攻擊者可執行建立 remote shell。

重現步驟

確認相關網址可使用 redis-cli -h <IP> 連至 Redis 資料庫，並且 CONFIG GET dir 之回應為 *2 / $3 / dir / $5 / /data 表示 CONFIG 指令未被封鎖，可寫入任意路徑。者可以 Cron Job Injection 進行遠端指令執行。

發現在受害 Redis 中以偽裝 Linux 系統行程名稱 kworker 命名的惡意腳本，透過多條 cron 確保持久化：