Oprioriterade Elasticsearch kluster är måltavlan i en ny våg av attacker som syftar till att släppa både malware och cryptocurrency mining programvara.
Denna vecka, it-säkerhet forskare från Cisco Talos varnade för en spik i den senaste tidens strejker mot dessa system, med sex separata cyberattack grupper tros vara inblandade.
I synnerhet Elasticsearch servrar med hjälp av programvara versioner 1.4.2 och lägre är måltavlan.
Enligt Cisco Talos, det är inte nya eller zero-day buggar som utnyttjas för att angripa servrar. Snarare, gamla sårbarheter i ouppdaterad programvara är att ge möjlighet till framgångsrika attacker.
Den gamla sårbarheter som har förekommit oftast i de senaste Elasticsearch attacker är CVE-2014-3120 och CVE-2015-1427, ett fel i standardkonfigurationer av Elasticsearch innan 1.2 som tillåter exekvering av godtycklig MVEL uttryck och ett skript motorn i Elasticsearch innan 1.4.3 som tillåter exekvering av godtyckliga skalkommandon.
Se även: Coinhive cryptojacking tjänsten stängdes i Mars 2019
Efter analys som gjorts genom honeypot uppställningar, fann forskarna att dessa gamla buggar som används för att skicka manus till sökfrågor och distribuera skadlig nyttolast. Både sårbarheter kan utnyttjas för att ladda ner bash-skript via åberopar wget.
“Bash-script som används av angriparen följer ett vanligt förekommande mönster av att inaktivera säkerhet för skydd och döda en mängd andra skadliga processer (främst andra gruv-malware), innan du lägger sin RSA-nyckel i authorized_keys-fil,” forskarna säger. “Dessutom, detta bash-script som fungerar att ladda ner olagliga gruvarbetare och deras konfigurationsfiler. Skriptet uppnår uthållighet genom att installera shell-skript som cron-jobb.”
Bash-skript innehåller också en körbar fil som kan vara uppackad för att distribuera andra sårbarheter och nyttolaster. Vissa är av särskilt intresse, inklusive CVE-2018-7600 i Drupal, CVE-2017-10271 i Oracle WebLogic, och CVE-2018-1273 under Våren Data Commons, alla som kan tas tillvara för att köra distans kod.
Dessutom, andra angreppsvinklar som används i den senaste angrepp inkluderar utnyttja CVE-2014-3120 att distribuera denial-of-service (DoS) skadlig programvara och för att ladda ner en fil som heter “LinuxT”, som tros vara en variant av Spike Trojan-även känd som Mr Black — för användning på x86, MIPS-och ARM-arkitekturer.
TechRepublic: Varför företag rädsla it-angrepp från ex-anställda mer än nationalstater
Sociala medier har också identifierats som kan vara kopplade till minskning av LinuxT nyttolast och en länk till Kinesiska angripare har föreslagits.
“Med tanke på storlek och känslighet för de uppgifter som dessa kluster innehåller konsekvenserna av ett brott av det här slaget kan vara svår,” Cisco Talos säger.
Forskarna föreslår också att uppgradera bygger och inaktivera möjligheten att skicka manus i Elasticsearch, när så är möjligt, bör genomföras i server-inställningar.
CNET: USA enligt uppgift tog ryska troll offline på Valdagen 2018
I November, en ElasticSearch server var kvar exponeras på Internet i snart två veckor som innehöll personlig identifierbar information (PII) i nästan 57 miljoner AMERIKANSKA medborgare.
Över 73 GB av data som finns i flera databaser på servern och ingår information såsom namn, e-post och inrikes adresser, telefonnummer och ip-adresser.
Tidigare och relaterade täckning
Elasticsearch ransomware attacker nu i tusentals
Elasticsearch nu på Alibaba Moln, ögon Kina marknaden
ElasticSearch server utsätts för personuppgifter för mer än 57 miljoner USA-medborgare
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter