黑客在新的恶意软件活动中定位Elasticsearch集群
安全研究人员观察到针对Elasticsearch集群的多个威胁参与者的攻击数量激增,这被认为是企图在受害者机器上传播恶意软件。
根据 思科Talos研究人员发表的一篇博客文章,攻击者出现了使用1.4.2及更低版本的目标群集,并利用旧漏洞将脚本传递给搜索查询并放弃攻击者的有效负载 。研究人员发现恶意软件和加密货币矿工都被留在了目标机器上。
研究人员解释说,由于Elasticsearch通常用于管理非常大的数据集,因此,由于存在大量数据,成功攻击群集的后果可能是毁灭性的。
黑客一直在使用CVE-2015-1427一直部署两个不同的有效载荷。第一个有效负载调用wget来下载bash脚本,而第二个有效负载使用混淆的Java来调用bash并使用wget下载相同的bash脚本。
研究人员还看到了第二个利用CVE-2014-3120的黑客,利用它来提供有效载荷,该有效载荷是比尔盖茨分布式拒绝服务恶意软件的衍生物。“这种恶意软件再次出现是值得注意的,因为虽然Talos之前在我们的蜜罐中观察到了这种恶意软件,但大多数参与者已经从DDoS恶意软件转移到了非法矿工,”研究人员说。
据观察,第三名黑客使用针对CVE-2014-3120的攻击从HTTP文件服务器下载名为“LinuxT”的文件。试图下载“LinuxT”示例的主机也丢弃了执行命令“echo”qq952135763。'的有效负载。
“在弹性搜索错误日志中可以看到这种行为可以追溯到几年前,”研究人员说。
研究人员设置的蜜罐还检测到利用Elasticsearch的其他主机丢弃执行“echo”qq952135763“和”echo“952135763”的有效载荷,这表明这些攻击与同一个QQ帐户有关。
“然而,没有观察到与这些攻击相关的IP试图下载与此攻击者相关联的”LinuxT“有效负载。此外,与此攻击者相关的其他活动不同,这些攻击利用了较新的Elasticsearch漏洞,而不是较旧的漏洞,“研究人员表示。
研究人员表示,这些Elasticsearch漏洞仅存在于1.4.2及更低版本中,因此运行现代版Elasticsearch的任何群集都不受这些漏洞的影响。“鉴于这些集群所包含的数据集的大小和敏感性,违反这种性质的影响可能非常严重,”研究人员警告说。
如果可能的话,敦促使用Elasticsearch的组织修补并升级到更新版本的Elasticsearch。