Non garantiti Elasticsearch i cluster sono stati mirati a una nuova ondata di attacchi mirati a goccia malware e cryptocurrency software di estrazione.
Questa settimana, i ricercatori di sicurezza informatica da Cisco Talos ha avvertito di un picco negli ultimi scioperi contro questi sistemi, con sei distinti gruppi di attacco crede di essere coinvolti.
In particolare, Elasticsearch server con versioni di software 1.4.2 e inferiore, sono presi di mira.
Secondo Cisco Talos, non è nuovo zero-day bug che vengono sfruttati per compromettere i server. Piuttosto, vecchia vulnerabilità senza patch software stanno fornendo la strada per il successo attacchi.
La vecchia vulnerabilità, che sono apparsi più spesso, in questi ultimi Elasticsearch attacchi sono CVE-2014-3120 e CVE-2015-1427, un errore in configurazioni di default di Elasticsearch prima di 1.2, che permette l’esecuzione arbitraria di MVEL espressioni e un motore di scripting problema in Elasticsearch prima 1.4.3 che permette l’esecuzione di comandi shell arbitrari.
Vedi anche: Coinhive cryptojacking servizio per arrestare a Marzo 2019
Dopo l’analisi effettuata attraverso honeypot configurazioni, i ricercatori hanno scoperto che questi bug vengano utilizzate per il passaggio di script per le query di ricerca e distribuzione di payload dannosi. Entrambe le vulnerabilità può essere sfruttata per scaricare script bash via invocando wget.
“Il bash script utilizzati da un hacker segue comunemente osservato modello di disabilitare le protezioni di sicurezza e l’uccisione di una varietà di altri processi maligni (principalmente altri mining malware), prima di mettere la sua chiave RSA nel file authorized_keys,” dicono i ricercatori. “Inoltre, questo script bash serve per scaricare illecito di minatori e i loro file di configurazione. Lo script raggiunge la persistenza di installare gli script di shell come cron jobs.”
Lo script bash contiene anche un file eseguibile che può essere decompresso per distribuire altre vulnerabilità e payload. Alcuni sono di particolare interesse, tra CVE-2018-7600 in Drupal, CVE-2017-10271 in Oracle WebLogic, e CVE-2018-1273 in Primavera Data Commons, che può essere sfruttato per eseguire codice in modalità remota.
In aggiunta, altri vettori di attacco utilizzato nell’ultimo assalto includono l’exploit CVE-2014-3120 distribuzione di tipo denial-of-service (DoS) di malware e per scaricare un file denominato “LinuxT” che si crede di essere una variante di Spike Trojan, noto anche come il Signor Nero — per l’uso su x86, MIPS e ARM.
TechRepublic: Perché le imprese paura di attacchi da ex-dipendenti di più di stati-nazione
Account di Social media sono stati identificati che possono essere collegati alla goccia di LinuxT capacità di carico e un link al Cinese aggressori è stato suggerito.
“Date le dimensioni e la sensibilità del set di dati di questi ammassi di contenere l’impatto di una violazione di questo tipo potrebbero essere gravi” Cisco Talos dice.
I ricercatori suggeriscono inoltre che l’aggiornamento costruisce e disabilitare la possibilità di inviare gli script in Elasticsearch, quando possibile, dovrebbero essere attuate in installazioni di server.
CNET: CI vollero russo troll offline il Giorno delle Elezioni nel 2018
Nel mese di novembre, un ElasticSearch server è stato lasciato esposto su Internet per quasi due settimane che conteneva informazioni di identificazione personale (PII) di quasi 57 milioni di cittadini STATUNITENSI.
Oltre 73GB di dati contenuti all’interno di diversi database sul server e include informazioni quali nomi, indirizzi email e indirizzi di casa, numeri di telefono e Indirizzi.
Precedente e relativa copertura
Elasticsearch attacchi ransomware ora in numero di migliaia di
Elasticsearch ora su Alibaba Cloud, gli occhi del mercato della Cina
ElasticSearch server esposti i dati personali di oltre 57 milioni di cittadini STATUNITENSI
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati