Ongedekte Elasticsearch clusters worden gericht in een frisse golf van aanvallen die zijn ontworpen om drop zowel malware en cryptocurrency mining software.
Deze week, cybersecurity onderzoekers van Cisco Talos gewaarschuwd voor een piek in de recente stakingen tegen deze systemen, met zes afzonderlijke cyberaanval groepen geloofd te worden betrokken.
In het bijzonder, Elasticsearch servers met behulp van software versie 1.4.2 of lager worden gericht.
Volgens Cisco Talos, het is niet nieuw of zero-day bugs die worden uitgebuit om een compromis te sluiten servers. Integendeel, oude ongepatchte kwetsbaarheden in software die de weg voor een succesvolle aanvallen.
De oude kwetsbaarheden die verschenen zijn vaak in de afgelopen Elasticsearch aanvallen zijn CVE-2014-3120 en CVE-2015-1427, een fout in het standaard configuraties van Elasticsearch voordat 1.2 die het mogelijk maakt de uitvoering van arbitraire MVEL uitdrukkingen en een script-engine probleem in Elasticsearch voordat 1.4.3 die het mogelijk maakt voor de uitvoering van arbitraire shell commando ‘ s.
Zie ook: Coinhive cryptojacking service te sluiten in Maart 2019
Na analyse gemaakt door honeypot opstellingen, vonden de onderzoekers dat deze oude bugs worden gebruikt om scripts te zoeken query ‘ s en het implementeren van schadelijke lading. Beide kwetsbaarheden kunnen worden misbruikt om te downloaden bash-scripts via het aanroepen van wget.
“De bash-script gebruikt door de aanvaller volgt een vaak waargenomen patroon van het uitschakelen van de beveiliging en het doden van een aantal andere kwaadaardige processen (vooral overige winning van malware), voor het plaatsen van een RSA-sleutel in het authorized_keys bestand,” zeggen de onderzoekers. “Bovendien, dit bash-script dient om het downloaden van illegale mijnwerkers en hun configuratie bestanden. Het script haalt de persistentie door het installeren van shell scripts zoals cron jobs.”
Het script bevat ook een uitvoerbaar bestand kan worden uitgepakt voor het implementeren van andere kwetsbaarheden en lading. Sommige zijn van bijzonder belang, met inbegrip van CVE-2018-7600 in Drupal, CVE-2017-10271 in de Oracle WebLogic, en CVE-2018-1273 in het Voorjaar van Gegevens Commons, die allemaal kunnen worden gebruikt om op afstand uit te voeren code.
In toevoeging, andere beveiligingslekken die worden gebruikt in de laatste aanval zijn het exploiteren van CVE-2014-3120 implementeren van een denial-of-service (DoS) – malware en voor het downloaden van een bestand met de naam “LinuxT” dat wordt beschouwd als een variant van de Spike Trojan-ook bekend als de Heer Zwart — voor gebruik op x86, MIPS en ARM architectuur.
TechRepublic: Waarom bedrijven vrezen cyberaanvallen uit ex-werknemers van meer dan nationale staten
Sociale media-accounts zijn ook geïdentificeerd die kunnen worden verbonden aan de daling van de LinuxT laadvermogen en een link naar de Chinese aanvallers heeft voorgesteld.
“Gezien de omvang en gevoeligheid van de gegevens en stelt deze clusters om de gevolgen van een schending van deze aard kan ernstige,” Cisco Talos zegt.
De onderzoekers suggereren ook dat het upgraden van nieuwbouw-en uitschakelen van de mogelijkheid om te sturen scripts in Elasticsearch, indien mogelijk, moeten worden geïmplementeerd in de server setups.
CNET: ONS verluidt nam de russische trollen offline op de verkiezingsdag in 2018
In November, een ElasticSearch server was kwetsbaar op het Internet voor bijna twee weken, die persoonlijk identificeerbare informatie (PII) van bijna 57 miljoen AMERIKAANSE burgers.
Over 73GB van de gegevens opgenomen in verschillende databases op de server en de opgenomen informatie zoals namen, e-mail en adressen, telefoonnummers en ip-adressen.
Vorige en aanverwante dekking
Elasticsearch ransomware aanvallen nu in de duizenden
Elasticsearch nu op Alibaba Cloud, ogen markt van China
ElasticSearch server blootgesteld de persoonlijke gegevens van meer dan 57 miljoen burgers van de VS
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters