Если вы используете старую версию Elasticsearch, убедитесь, что вы исправили ее известные уязвимости или рассмотрите возможность обновления.
Возьмите под контроль свои финансы и сэкономьте 80% на пожизненной подписке на Kualto. Исследователи безопасности недавно обнаружили увеличение количества атак на кластеры Elasticsearch, работающие под управлением более старых версий с известными уязвимостями. По крайней мере шесть различных групп злоумышленников ищут и используют небезопасные развертывания на серверах-нарушителях.
Elasticsearch - это распределенная поисковая платформа, написанная на Java, предназначенная для обработки больших наборов данных. Он обычно используется в компаниях и организациях, которые работают с большими данными.
«В ходе продолжающегося анализа трафика "приманка Talos" обнаружил увеличение числа атак, направленных на незащищенные кластеры Elasticsearch», - говорится в отчете исследователей из группы Talos Cisco. «Эти атаки используют CVE-2014-3120 и CVE-2015-1427, которые присутствуют только в старых версиях Elasticsearch и используют возможность передавать сценарии в поисковые запросы».
Злоумышленники используют эксплойт Elasticsearch для нескольких целей
Эксплойты влияют на Elasticsearch 1.4.2 и ниже, а вредоносные скрипты предоставляют различную полезную нагрузку в зависимости от того, кто их использует. Похоже, одна группа последовательно устанавливает программы майнинга криптовалют, но также загружает дополнительную полезную нагрузку с уязвимостями в других технологиях, включая CVE-2018-7600 в Drupal, CVE-2017-10271 в Oracle WebLogic и CVE-2018-1273 в Spring Data Commons.
«[Дополнительные] эксплойты отправляются, как правило, через HTTPS, в целевые системы», - говорят исследователи. «Как свидетельствует каждый из этих эксплойтов, цель злоумышленника, по-видимому, заключается в получении удаленного выполнения кода на целевых машинах. Детальный анализ образца полезной нагрузки продолжается, и Talos предоставит соответствующие обновления по мере необходимости».
Однако скрипты-мошенники не только предоставляют эксплойты. Они отключают средства защиты, убивают конкурирующие вредоносные процессы и добавляют ключ SSH злоумышленников в список авторизованных ключей, чтобы получить постоянный удаленный доступ.
Другая группа хакеров, нацеленных на кластеры Elasticsearch, используя уязвимость CVE-2014-3120 для развертывания вредоносной программы, предназначенной для запуска распределенных атак типа «отказ в обслуживании» (DDoS). Это вредоносное ПО представляет собой пользовательскую версию более старой DDoS-программы под названием Bill Gates.
Третья группа использует развертывания Elasticsearch для установки троянской программы Spike, которая имеет варианты для архитектур x86, MIPS и ARM CPU. Артефакты, оставленные этой группой, указывают на учетную запись QQ, принадлежащую китайскому пользователю, который имеет историю на хакерских форумах.
Три другие группы, которые Талос наблюдал, поражая свои приманки Elasticsearch, не доставляли вредоносного ПО. Тем не менее, два из них были замечены в выдаче команд серверам отпечатков пальцев, а один из них выполнил команду rm *, которая в системах Linux используется для удаления всех файлов.
Потенциальное влияние нарушения Elasticsearch огромно
«Учитывая размер и чувствительность наборов данных, содержащихся в этих кластерах, последствия такого нарушения могут быть серьезными», - предупреждают исследователи Talos. «Talos настоятельно рекомендует читателям установить исправления и перейти на более новую версию Elasticsearch, если это вообще возможно. Кроме того, Talos настоятельно рекомендует отключить возможность отправки сценариев через поисковые запросы, если эта возможность не является строго необходимой для ваших случаев использования».
Деструктивные атаки на кластеры Elasticsearch также наблюдались еще в 2017 году, когда хакеры уничтожали все данные и оставляли после себя записи с требованием выкупа. Это были фальшивые вымогатели, потому что не было никаких признаков того, что злоумышленники действительно смогут восстановить удаленные данные.
В то время архитектор распределенных систем Итамар Син-Хершко опубликовал сообщение в блоге с рекомендациями по обеспечению безопасности развертывания Elasticsearch, которое актуально и сегодня. Эти рекомендации включают в себя не выставление кластеров Elasticsearch в Интернет, отключение HTTP на клиентах Elasticsearch, использование других портов, отличных от порта по умолчанию, ограничение доступа только к внутренним IP-адресам и отключение сценариев.