Ataques de malware dirigidos contra servidores de Elasticsearch

Los grupos no asegurados de Elasticsearch están siendo atacados por una nueva ola de ataques diseñados para eliminar software de minería de malware y criptomoneda.

Esta semana, los investigadores de ciberseguridad de Cisco Talos advirtieron sobre un aumento en los ataques recientes contra estos sistemas, con seis grupos separados de ciberataques que se cree están involucrados.

En particular, los servidores de Elasticsearch que usan versiones de software 1.4.2 y menores están siendo el objetivo.

Según Cisco Talos, no se trata de errores nuevos o de día cero que se están explotando para comprometer a los servidores. Más bien, las vulnerabilidades antiguas en software no parcheado están proporcionando la vía para ataques exitosos.

Las vulnerabilidades antiguas que han aparecido con mayor frecuencia en los recientes ataques de Elasticsearch son CVE-2014-3120 y CVE-2015-1427 , un error en las configuraciones predeterminadas de Elasticsearch antes de la 1.2 que permite la ejecución de expresiones MVEL arbitrarias y un problema del motor de scripting en Elasticsearch antes 1.4.3 que permite la ejecución de comandos de shell arbitrarios.

Después del análisis realizado a través de configuraciones de honeypot, los investigadores descubrieron que estos viejos errores se están utilizando para pasar scripts para buscar consultas y desplegar cargas útiles maliciosas. Ambas vulnerabilidades pueden ser explotadas para descargar scripts de bash invocando wget.

"La secuencia de comandos de bash utilizada por el atacante sigue un patrón comúnmente observado para deshabilitar las protecciones de seguridad y matar una variedad de otros procesos maliciosos (principalmente otro malware de minería), antes de colocar su clave RSA en el archivo authorized_keys", dicen los investigadores. "Además, esta secuencia de comandos bash sirve para descargar mineros ilícitos y sus archivos de configuración. La secuencia de comandos logra persistencia mediante la instalación de scripts de shell como trabajos cron".

El script bash también contiene un ejecutable que se puede desempaquetar para implementar otras vulnerabilidades y cargas útiles. Algunos son de particular interés, como CVE-2018-7600 en Drupal, CVE-2017-10271 en Oracle WebLogic y CVE-2018-1273 en Spring Data Commons, todos los cuales pueden aprovecharse para ejecutar código de forma remota.

Además, otros vectores de ataque que se están utilizando en el último asalto incluyen la vulnerabilidad CVE-2014-3120 para implementar malware de denegación de servicio (DoS) y descargar un archivo llamado "LinuxT", que se cree que es una variante del Spike Trojan , también conocido como Mr Black, para usar en arquitecturas x86, MIPS y ARM.

También se han identificado cuentas de redes sociales que pueden estar conectadas a la caída de la carga útil de LinuxT y se ha sugerido un enlace a atacantes chinos.

"Dado el tamaño y la sensibilidad de los conjuntos de datos, estos grupos para contener el impacto de una violación de esta naturaleza podrían ser graves", dice Cisco Talos.

Los investigadores también sugieren que la actualización de compilaciones y la inhabilitación de la capacidad de enviar scripts en Elasticsearch, cuando sea posible, debe implementarse en las configuraciones del servidor.

Fuente: zdnet