Usikrede Elasticsearch klynger er ved at blive rettet i en ny bølge af angreb, der er designet til at droppe både malware og cryptocurrency mining software.
I denne uge, cybersecurity forskere fra Cisco Talos advaret af en stigning i de seneste strejker mod disse systemer, med seks separate cyberattack grupper menes at være involveret.
Især Elasticsearch servere ved hjælp af software-version 1.4.2 og lavere bliver målrettet.
Ifølge Cisco Talos, det er ikke noget nyt eller zero-day-bugs, som bliver udnyttet i orden at gå på kompromis servere. Snarere, gamle sårbarheder i ikke-opdateret software giver mulighed for vellykkede angreb.
Den gamle sårbarheder, som har vist sig oftest i de seneste Elasticsearch angreb er CVE-2014-3120, og CVE-2015-1427, en fejl i standard konfigurationer af Elasticsearch før 1.2, som tillader udførelse af vilkårlig MVEL udtryk og en scripting engine problem i Elasticsearch før 1.4.3, som giver mulighed for udførelse af vilkårlige shell-kommandoer.
Se også: Coinhive cryptojacking service til at lukke ned i Marts 2019
Efter analyse, der er foretaget gennem honeypot opsætninger, fandt forskerne, at disse gamle fejl bliver brugt til at videregive scripts til søgninger og installere ondsindede nyttelast. Begge sårbarheder kan udnyttes til at hente bash scripts via aktivering wget.
“Bash-script brugt af hackeren følger et almindeligt observerede mønster for at deaktivere sikkerhed beskyttelse og dræbte en række andre ondsindede processer (primært andre minedrift malware), før du placerer sin RSA-nøgle i authorized_keys fil,” siger forskerne. “Derudover, er dette bash script tjener til at downloade ulovlige minearbejdere og deres konfigurationsfiler. Scriptet opnår vedholdenhed ved at installere shell-scripts, som cron job.”
Bash script indeholder også en eksekverbar fil, som kan blive udpakket til at indsætte andre sårbarheder og nyttelast. Nogle er af særlig interesse, herunder CVE-2018-7600 i Drupal, CVE-2017-10271 i Oracle WebLogic, og CVE-2018-1273 i Foråret Data Commons, som alt sammen kan udnyttes til at eksekvere kode via fjernadgang.
Hertil kommer, at andre angrebsvinkler, der anvendes i den seneste overfald omfatter udnyttelse af CVE-2014-3120 at udsende denial-of-service (DoS) – malware, og at downloade en fil med navnet “LinuxT”, som menes at være en variant af Spike Trojan-også kendt som mr. Black — til brug på x86 -, ARM, MIPS og arkitekturer.
TechRepublic: Hvorfor virksomheder frygt cyberangreb fra ex-ansatte mere end nationalstater
Sociale medier er også blevet identificeret som kan være forbundet til drop af den LinuxT nyttelast og et link til Kinesiske angribere har været foreslået.
“I betragtning af størrelsen og følsomheden af de data sæt, disse klynger til at begrænse virkningerne af en misligholdelse af denne karakter kan være svær,” Cisco Talos siger.
Forskerne foreslår også, at en opgradering bygger og deaktivering af muligheden for at sende scripts i Elasticsearch, når det er muligt, bør gennemføres i server opsætninger.
CNET: OS efter sigende tog russiske trolde offline på valgdagen i 2018
I November, er en ElasticSearch server blev efterladt synlige på Internettet for tæt på to uger, som indeholdt personligt identificerbare oplysninger (PII), for næsten 57 millioner AMERIKANSKE borgere.
Over 73GB af data, der var indeholdt i flere databaser på serveren og omfattede oplysninger, såsom navne, e-mail og hjem adresser, telefonnumre og ip-adresser.
Tidligere og relaterede dækning
Elasticsearch ransomware angreb nu nummer i tusindvis
Elasticsearch nu på Alibaba Cloud, øjne kinesiske marked
ElasticSearch server udsat personoplysninger, som er over 57 millioner AMERIKANSKE statsborgere
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre