|
|
如果您運(yùn)行的是舊版本的ElasticSearch����,請(qǐng)確保已修復(fù)其已知漏洞或考慮升級(jí)����。
1.jpg (31.35 KB, 下載次數(shù): 593)
下載附件
黑客攻擊
2019-3-4 10:25 上傳
安全研究人員最近檢測(cè)到越來(lái)越多的針對(duì)運(yùn)行具有已知漏洞的舊版本的ElasticSearch集群的攻擊�。至少有六個(gè)不同的攻擊者正在搜索和利用不安全的部署來(lái)濫用服務(wù)器。
彈性搜索是用Java編寫的用于處理大型數(shù)據(jù)集的分布式搜索引擎平臺(tái)�。它通常用于處理大數(shù)據(jù)的公司和組織。
思科Talos集團(tuán)的研究人員在本周的一份報(bào)告中說(shuō):“通過(guò)對(duì)蜜罐流量的持續(xù)分析����,Talos發(fā)現(xiàn)針對(duì)不安全的ElasticSearch集群的攻擊有所增加�����!边@些攻擊利用了CVE-2014-3120和CVE-2015-1427,這兩種攻擊都只存在于舊版本的ElasticSearch中����,并利用傳遞腳本以搜索查詢的能力��!
攻擊者將ElasticSearch漏洞用于多種目的
漏洞會(huì)影響ElasticSearch 1.4.2和更低版本�,惡意腳本根據(jù)使用它們的參與者提供不同的有效負(fù)載。一個(gè)小組似乎一直在安裝加密貨幣挖掘程序�,但也在下載額外的有效負(fù)載,利用其他技術(shù)中的漏洞����,包括Drupal中的CVE-2018-7600、Oracle Weblogic中的CVE-2017-10271和Spring Data Commons中的CVE-2018-1273����。
研究人員說(shuō):“(額外的)攻擊通常通過(guò)HTTPS發(fā)送到目標(biāo)系統(tǒng)��������!闭缑恳淮喂羲C明的�,攻擊者的目標(biāo)似乎是在目標(biāo)機(jī)器上獲得遠(yuǎn)程代碼執(zhí)行。有效載荷樣本的詳細(xì)分析正在進(jìn)行中����,Talos將在必要時(shí)提供相關(guān)的更新��!
不過(guò)��,惡意的bash腳本不僅僅提供漏洞攻擊��。它們禁用安全保護(hù)����,殺死競(jìng)爭(zhēng)的惡意進(jìn)程,并將攻擊者的ssh密鑰添加到授權(quán)的_密鑰列表中��,以便繼續(xù)進(jìn)行遠(yuǎn)程訪問(wèn)����。
另一組黑客利用CVE-2014-3120攻擊以ElasticSearch集群為目標(biāo)����,部署旨在發(fā)起分布式拒絕服務(wù)(DDOS)攻擊的惡意程序��。此惡意軟件是名為比爾·蓋茨的舊DDOS程序的自定義版本����。
第三組利用ElasticSearch部署安裝一個(gè)名為Spike的特洛伊程序,該程序具有x86��、MIPS和ARM CPU架構(gòu)的變體��。這個(gè)小組留下的物品指向一個(gè)QQ帳號(hào)�,這個(gè)帳號(hào)屬于一個(gè)有黑客論壇歷史的中國(guó)用戶。
塔洛斯觀察到的另外三組人進(jìn)入了他們的彈性搜索蜜罐����,但他們沒(méi)有發(fā)送任何惡意軟件。但是�,其中兩個(gè)向指紋服務(wù)器發(fā)出命令,另一個(gè)發(fā)出rm*命令����,在Linux系統(tǒng)上,該命令用于刪除所有文件。
彈性搜索破壞的潛在影響是巨大的
塔洛斯的研究人員警告說(shuō):“考慮到這些星團(tuán)所包含的數(shù)據(jù)集的規(guī)模和敏感性��,破壞這種性質(zhì)的影響可能會(huì)非常嚴(yán)重�����!盩alos敦促讀者盡可能修補(bǔ)并升級(jí)到新版本的ElasticSearch。此外����,Talos強(qiáng)烈建議,如果您的用例不需要這種功能�,那么就禁用通過(guò)搜索查詢發(fā)送腳本的功能����!
早在2017年,就有人觀察到針對(duì)ElasticSearch集群的破壞性攻擊�,當(dāng)時(shí)黑客曾破壞所有數(shù)據(jù)并留下贖金記錄。不過(guò)����,這些都是偽造的勒索軟件攻擊,因?yàn)闆](méi)有跡象表明攻擊者實(shí)際上可以恢復(fù)刪除的數(shù)據(jù)�。
當(dāng)時(shí),分布式系統(tǒng)架構(gòu)師Itamar Syn Hershko發(fā)表了一篇博客文章,其中提出了保護(hù)ElasticSearch部署的建議��,這些建議在今天仍然是相關(guān)的�。這些建議包括不向Internet公開ElasticSearch集群、在ElasticSearch客戶端上禁用HTTP��、使用默認(rèn)端口以外的其他端口����、僅限制對(duì)內(nèi)部IP地址的訪問(wèn)以及禁用腳本。
|
|
加載中...
發(fā)表于 2019-3-4 10:25:38
QQ好友和群
收藏