Útočníci zneužívají službu Amazon Elastic Search k útokům DDoS

29. 7. 2014

Sdílet

 Autor: © tashatuvango - Fotolia.com
Kyberzločinci zneužívají zranitelnost v softwaru Elastic Search k instalaci červů na servery Amazonu a další cloudové servery, které mohou sloužit k útokům typu DDoS.

Elastic Search je velmi populární open-sourcové vyhledávací rozhraní napsané v Javě, které aplikacím umožňuje provádět fulltextové vyhledávání různých typů dokumentů pomocí rozhraní REST API (Representational State Transfer). Elastic Search se často využívá v cloudových prostředích, jako je třeba u Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine a další. Verze 1.1.x Elasticsearch má podporu pro aktivní skriptování prostřednictvím API ve výchozím nastavení. Tato funkce však představuje bezpečnostní riziko, jelikož nevyžaduje autorizaci a skript není chráněn v sandboxu.

Bezpečnostní experti již dříve v tomto roce hlásili, že útočníci mohou zneužít skriptovací engine Elastic Search a spustit na dálku nebezpečný kód. Toto bezpečnostní riziko bývá označováno jako CVE-2014-3120. Tvůrci této služby pro verzi 1.1.x ještě nevydali aktualizaci, avšak od verze 1.2.0 vydané 22. května je dynamické skriptování standardně vypnuto.

bitcoin školení listopad 24

Minulý týden bezpečnostní experti z ruské společnosti Kaspersky Lab našli nové varianty trojského koně Mayday, jenž je využíván k útokům typu DDoS (dynamické odepření služby). Jedna z nových variant Mayday byla nalezena na serveru Amazon EC2, avšak podle Kaspersky nejde o jedinou platformu, na niž je cíleno. Podle Kurta Baumgartnera z Kaspersky se útočníci napojí na virtuální servery využívané zákazníky Amazon EC2 zneužitím CVE-2014-3120 v Elastic Search 1.1.x, jenž je stále hojně využíván velkými organizacemi.

Mezi oběťmi těchto útoků jsou v současné době mimo jiné velká regionální banka, velký výrobce elektroniky nebo poskytovatel služeb z Japonska. „Četnost útoků je tak velká, že Amazon nyní své zákazníky na možná rizika upozorňuje. A situace je pravděpodobně stejná i u jiných poskytovatelů cloudových řešení,“ uvedl Baumgartner. Uživatelé Elastic Search 1.1.x by měli přejít na novější verzi a ti, kteří potřebují zmíněnou skriptovací funkci, by se měli řídit bezpečnostními doporučeními tvůrců tohoto enginu zveřejněnými na jejich blogu 9. července.