ElasticSearch集群面臨來自多個黑客團體的攻擊

admin

如果您運行的是舊版本的ElasticSearch，請確保已修復(fù)其已知漏洞或考慮升級。

安全研究人員最近檢測到越來越多的針對運行具有已知漏洞的舊版本的ElasticSearch集群的攻擊。至少有六個不同的攻擊者正在搜索和利用不安全的部署來濫用服務(wù)器。
彈性搜索是用Java編寫的用于處理大型數(shù)據(jù)集的分布式搜索引擎平臺。它通常用于處理大數(shù)據(jù)的公司和組織。
思科Talos集團的研究人員在本周的一份報告中說：“通過對蜜罐流量的持續(xù)分析，Talos發(fā)現(xiàn)針對不安全的ElasticSearch集群的攻擊有所增加�！边@些攻擊利用了CVE-2014-3120和CVE-2015-1427，這兩種攻擊都只存在于舊版本的ElasticSearch中，并利用傳遞腳本以搜索查詢的能力。”
攻擊者將ElasticSearch漏洞用于多種目的
漏洞會影響ElasticSearch 1.4.2和更低版本，惡意腳本根據(jù)使用它們的參與者提供不同的有效負載。一個小組似乎一直在安裝加密貨幣挖掘程序，但也在下載額外的有效負載，利用其他技術(shù)中的漏洞，包括Drupal中的CVE-2018-7600、Oracle Weblogic中的CVE-2017-10271和Spring Data Commons中的CVE-2018-1273。
研究人員說：“（額外的）攻擊通常通過HTTPS發(fā)送到目標(biāo)系統(tǒng)�！闭�如每一次攻擊所證明的，攻擊者的目標(biāo)似乎是在目標(biāo)機器上獲得遠程代碼執(zhí)行。有效載荷樣本的詳細分析正在進行中，Talos將在必要時提供相關(guān)的更新。”
不過，惡意的bash腳本不僅僅提供漏洞攻擊。它們禁用安全保護，殺死競爭的惡意進程，并將攻擊者的ssh密鑰添加到授權(quán)的_密鑰列表中，以便繼續(xù)進行遠程訪問。
另一組黑客利用CVE-2014-3120攻擊以ElasticSearch集群為目標(biāo)，部署旨在發(fā)起分布式拒絕服務(wù)（DDOS）攻擊的惡意程序。此惡意軟件是名為比爾·蓋茨的舊DDOS程序的自定義版本。

第三組利用ElasticSearch部署安裝一個名為Spike的特洛伊程序，該程序具有x86、MIPS和ARM CPU架構(gòu)的變體。這個小組留下的物品指向一個QQ帳號，這個帳號屬于一個有黑客論壇歷史的中國用戶。
塔洛斯觀察到的另外三組人進入了他們的彈性搜索蜜罐，但他們沒有發(fā)送任何惡意軟件。但是，其中兩個向指紋服務(wù)器發(fā)出命令，另一個發(fā)出rm*命令，在Linux系統(tǒng)上，該命令用于刪除所有文件。
彈性搜索破壞的潛在影響是巨大的
塔洛斯的研究人員警告說：“考慮到這些星團所包含的數(shù)據(jù)集的規(guī)模和敏感性，破壞這種性質(zhì)的影響可能會非常嚴(yán)重�！盩alos敦促讀者盡可能修補并升級到新版本的ElasticSearch。此外，Talos強烈建議，如果您的用例不需要這種功能，那么就禁用通過搜索查詢發(fā)送腳本的功能�！�
早在2017年，就有人觀察到針對ElasticSearch集群的破壞性攻擊，當(dāng)時黑客曾破壞所有數(shù)據(jù)并留下贖金記錄。不過，這些都是偽造的勒索軟件攻擊，因為沒有跡象表明攻擊者實際上可以恢復(fù)刪除的數(shù)據(jù)。
當(dāng)時，分布式系統(tǒng)架構(gòu)師Itamar Syn Hershko發(fā)表了一篇博客文章，其中提出了保護ElasticSearch部署的建議，這些建議在今天仍然是相關(guān)的。這些建議包括不向Internet公開ElasticSearch集群、在ElasticSearch客戶端上禁用HTTP、使用默認(rèn)端口以外的其他端口、僅限制對內(nèi)部IP地址的訪問以及禁用腳本。