Атакующие начала использовать уязвимости в распределенном поисковом движке Elasticsearch для установки DDOS-вредоносов на облачных серверах Amazon и других облачных провайдеров.
Elasticsearch — это набирающий популярность открытый поисковый движок, реализованный на Java и позволяющий приложениям производить полнотекстовый поиск различных типов документов посредством REST API (representational state transfer application programming interface). Из-за его распределенной архитектуры, позволяющей работать на множестве узлов сразу, Elasticsearch часто применяется в вычислительных облаках. Он уже был развернут на Amazon Elastic Compute Cloud, Microsoft Azure, Google Compute Engine и других облачных платформах.
Версии Elasticsearch 1.1.x поддерживают активный скриптинг посредством API-вызовов по умолчанию. Эта функция представляет определенную опасность, так как не требует аутентификации, а сами скрипты не выполняются в «песочнице».
Специалисты по информационной безопасности ранее уже сообщали о проблемах в Elasticsearch, связанных со скриптингом. Уязвимость CVE-2014-3120 уже описывает возможность удаленного исполнения кода в системе. Разработчики продукта не выпустили патч для ветки 1.1.X, но начиная с 1.2.0 динамический скриптинг по умолчанию отключен.
Сейчас специалисты из «Лаборатории Касперского» говорят об обнаружении троянской Linux-программы Mayday, которая запускает DDOS-атаки, в том числе и атаки типа DNS amplification, посредством уязвимости. Один из вариантов Mayday был выявлен на серверах Amazon EC2.
Курт Баумгартнер, специалист «Лаборатории Касперского», говорит, что в случае с Amazon взлом был проведен через Elasticsearch, который все еще используется некоторыми организациями, даже несмотря на доступность версий 1.2.x и 1.3.x. Также на скомпрометированных машинах специалисты нашли веб-оболочки для управления сервером.
Выявленная версия Mayday на серверах Amazon во время работы не использовала DNS amplification, ограничиваясь во время атак UPD-флудингом. Среди целей вредоноса антивирусная компания выделила американский региональный банк и японскую компанию сервис-провайдера.
Мирант Киев по материалам: cybersecurity.ru/crypt...
|