Os clusters inseguros do Elasticsearch estão sendo alvos de uma nova onda de ataques projetados para lançar software de mineração maliciosa de criptomoeda.
Esta semana, os pesquisadores de segurança cibernética da Cisco Talos alertaram para um aumento nos ataques recentes contra esses sistemas, com seis grupos de ataques cibernéticos diferentes que se acredita estarem envolvidos.
Em particular, os servidores do Elasticsearch que usam versões de software 1.4.2 e inferiores estão sendo segmentados.
De acordo com a Cisco Talos, não são novos bugs de dia zero que estão sendo explorados para comprometer os servidores. Em vez disso, vulnerabilidades antigas em software não corrigido estão fornecendo o caminho para ataques bem-sucedidos.
As vulnerabilidades antigas que apareceram com mais freqüência em ataques recentes do Elasticsearch são CVE-2014-3120 e CVE-2015-1427, um erro nas configurações padrão do Elasticsearch antes de 1.2, que permite a execução de expressões MVEL arbitrárias e um problema de mecanismo de script no Elasticsearch antes 1.4.3 que permite a execução de comandos shell arbitrários.
Após a análise feita através de configurações de honeypot, os pesquisadores descobriram que esses bugs antigos estão sendo usados para passar scripts para consultas de pesquisa e implantar cargas maliciosas. Ambas as vulnerabilidades podem ser exploradas para fazer o download de scripts bash, invocando o wget.
“O script usado pelo hacker segue um padrão comumente observado de desabilitar proteções de segurança e matar uma variedade de outros processos maliciosos (principalmente outros malware de mineração), antes de colocar sua chave RSA no arquivo authorized_keys”, dizem os pesquisadores. “Além disso, este script bash serve para baixar mineiros ilícitos e seus arquivos de configuração. O script obtém persistência instalando scripts de shell como tarefas agendadas.”
O script bash também contém um executável que pode ser descompactado para implantar outras vulnerabilidades e cargas úteis. Alguns são de particular interesse que podem ser aproveitados para executar código remotamente.
Também foram identificadas contas de mídia social que podem estar conectadas à queda da carga útil do LinuxT e um link para invasores chineses foi sugerido.
“Dado o tamanho e a sensibilidade dos conjuntos de dados, esses clusters para conter o impacto de uma violação dessa natureza podem ser graves”, afirma a Cisco Talos.
Os pesquisadores também sugerem que a atualização de builds e a desativação da capacidade de enviar scripts no Elasticsearch, quando possível, devem ser implementadas nas configurações do servidor.
Em novembro, um servidor ElasticSearch ficou exposto na Internet por quase duas semanas, contendo informações pessoais identificáveis (PII) de quase 57 milhões de cidadãos americanos.
Mais de 73 GB de dados estavam contidos em vários bancos de dados no servidor e incluíam informações como nomes, e-mail e endereços residenciais, números de telefone e IPs.
Traduzido e adaptado de : zdnet.com
