ElasticSearch集群面临来自多个黑客团体的攻击

admin

如果您运行的是旧版本的ElasticSearch，请确保已修复其已知漏洞或考虑升级。

黑客攻击

安全研究人员最近检测到越来越多的针对运行具有已知漏洞的旧版本的ElasticSearch集群的攻击。至少有六个不同的攻击者正在搜索和利用不安全的部署来滥用服务器。
弹性搜索是用Java编写的用于处理大型数据集的分布式搜索引擎平台。它通常用于处理大数据的公司和组织。
思科Talos集团的研究人员在本周的一份报告中说：“通过对蜜罐流量的持续分析，Talos发现针对不安全的ElasticSearch集群的攻击有所增加。”这些攻击利用了CVE-2014-3120和CVE-2015-1427，这两种攻击都只存在于旧版本的ElasticSearch中，并利用传递脚本以搜索查询的能力。”
攻击者将ElasticSearch漏洞用于多种目的
漏洞会影响ElasticSearch 1.4.2和更低版本，恶意脚本根据使用它们的参与者提供不同的有效负载。一个小组似乎一直在安装加密货币挖掘程序，但也在下载额外的有效负载，利用其他技术中的漏洞，包括Drupal中的CVE-2018-7600、Oracle Weblogic中的CVE-2017-10271和Spring Data Commons中的CVE-2018-1273。
研究人员说：“（额外的）攻击通常通过HTTPS发送到目标系统。”正如每一次攻击所证明的，攻击者的目标似乎是在目标机器上获得远程代码执行。有效载荷样本的详细分析正在进行中，Talos将在必要时提供相关的更新。”
不过，恶意的bash脚本不仅仅提供漏洞攻击。它们禁用安全保护，杀死竞争的恶意进程，并将攻击者的ssh密钥添加到授权的_密钥列表中，以便继续进行远程访问。
另一组黑客利用CVE-2014-3120攻击以ElasticSearch集群为目标，部署旨在发起分布式拒绝服务（DDOS）攻击的恶意程序。此恶意软件是名为比尔·盖茨的旧DDOS程序的自定义版本。

第三组利用ElasticSearch部署安装一个名为Spike的特洛伊程序，该程序具有x86、MIPS和ARM CPU架构的变体。这个小组留下的物品指向一个QQ帐号，这个帐号属于一个有黑客论坛历史的中国用户。
塔洛斯观察到的另外三组人进入了他们的弹性搜索蜜罐，但他们没有发送任何恶意软件。但是，其中两个向指纹服务器发出命令，另一个发出rm*命令，在Linux系统上，该命令用于删除所有文件。
弹性搜索破坏的潜在影响是巨大的
塔洛斯的研究人员警告说：“考虑到这些星团所包含的数据集的规模和敏感性，破坏这种性质的影响可能会非常严重。”Talos敦促读者尽可能修补并升级到新版本的ElasticSearch。此外，Talos强烈建议，如果您的用例不需要这种功能，那么就禁用通过搜索查询发送脚本的功能。”
早在2017年，就有人观察到针对ElasticSearch集群的破坏性攻击，当时黑客曾破坏所有数据并留下赎金记录。不过，这些都是伪造的勒索软件攻击，因为没有迹象表明攻击者实际上可以恢复删除的数据。
当时，分布式系统架构师Itamar Syn Hershko发表了一篇博客文章，其中提出了保护ElasticSearch部署的建议，这些建议在今天仍然是相关的。这些建议包括不向Internet公开ElasticSearch集群、在ElasticSearch客户端上禁用HTTP、使用默认端口以外的其他端口、仅限制对内部IP地址的访问以及禁用脚本。