您的位置:首页>科技 >内容

针对Elasticsearch服务器的针对性恶意软件攻击激增

2019-02-28 20:33:56来源:msn
导读不安全的Elasticsearch集群正在成为旨在同时丢弃恶意软件和加密货币挖掘软件的新一波攻击的目标。本周,来自思科Talos的网络安全研究人员警

不安全的Elasticsearch集群正在成为旨在同时丢弃恶意软件和加密货币挖掘软件的新一波攻击的目标。

本周,来自思科Talos的网络安全研究人员警告说,最近针对这些系统的罢工激增,据信有六个独立的网络攻击组织参与其中。

特别是,使用软件版本1.4.2及更低版本的Elasticsearch服务器正在成为目标。

根据思科Talos的说法,为了破坏服务器,它不是新的或零日漏洞。相反,未修补软件中的旧漏洞为成功攻击提供了途径。

在最近的Elasticsearch攻击中最常出现的旧漏洞是CVE-2014-3120和CVE-2015-1427,这是Elasticsearch在1.2之前的默认配置中的一个错误,它允许在Elasticsearch中执行任意MVEL表达式和脚本引擎问题之前1.4.3允许执行任意shell命令。

通过蜜罐设置进行分析后,研究人员发现这些旧漏洞被用于传递脚本以搜索查询和部署恶意负载。可以利用这两个漏洞通过调用wget来下载bash脚本。

“攻击者使用的bash脚本遵循一种常见的禁用安全保护模式并杀死各种其他恶意进程(主要是其他挖掘恶意软件),然后将其RSA密钥放入authorized_keys文件中,”研究人员说。“此外,这个bash脚本用于下载非法矿工及其配置文件。该脚本通过安装shell脚本作为cron作业来实现持久性。”

bash脚本还包含一个可执行文件,可以解压缩以部署其他漏洞和有效负载。有些是特别感兴趣的,包括CVE-2018-7600在Drupal,CVE-2017-10271在甲骨文的WebLogic和CVE-2018至1273年春季数据共享,所有这些都可以利用远程执行代码。

此外,最新攻击中使用的其他攻击媒介包括利用CVE-2014-3120部署拒绝服务(DoS)恶意软件并下载名为“LinuxT”的文件,该文件被认为是Spike Trojan- 也称为Black先生 - 用于x86,MIPS和ARM架构。还发现了社交媒体帐户,这些帐户可能与LinuxT有效载荷的下降有关,并且建议链接到中国攻击者。

“考虑到数据集的大小和敏感性,这些集群包含违反这种性质的影响可能非常严重,”思科Talos说。

研究人员还建议,在可能的情况下,升级版本并禁用Elasticsearch中发送脚本的能力应该在服务器设置中实现。

11月,ElasticSearch服务器在互联网上暴露了近两周,其中包含近5700万美国公民的个人身份信息(PII)。

服务器上的几个数据库中包含超过73GB的数据,包括姓名,电子邮件和家庭地址,电话号码和IP等信息。

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章