不安全的Elasticsearch集群正在成為旨在同時(shí)丟棄惡意軟件和加密貨幣挖掘軟件的新一波攻擊的目標(biāo)。

本周，來自思科Talos的網(wǎng)絡(luò)安全研究人員警告說，最近針對(duì)這些系統(tǒng)的罷工激增，據(jù)信有六個(gè)獨(dú)立的網(wǎng)絡(luò)攻擊組織參與其中。

特別是，使用軟件版本1.4.2及更低版本的Elasticsearch服務(wù)器正在成為目標(biāo)。

根據(jù)思科Talos的說法，為了破壞服務(wù)器，它不是新的或零日漏洞。相反，未修補(bǔ)軟件中的舊漏洞為成功攻擊提供了途徑。

在最近的Elasticsearch攻擊中最常出現(xiàn)的舊漏洞是CVE-2014-3120和CVE-2015-1427，這是Elasticsearch在1.2之前的默認(rèn)配置中的一個(gè)錯(cuò)誤，它允許在Elasticsearch中執(zhí)行任意MVEL表達(dá)式和腳本引擎問題之前1.4.3允許執(zhí)行任意shell命令。

通過蜜罐設(shè)置進(jìn)行分析后，研究人員發(fā)現(xiàn)這些舊漏洞被用于傳遞腳本以搜索查詢和部署惡意負(fù)載?？梢岳眠@兩個(gè)漏洞通過調(diào)用wget來下載bash腳本。

“攻擊者使用的bash腳本遵循一種常見的禁用安全保護(hù)模式并殺死各種其他惡意進(jìn)程(主要是其他挖掘惡意軟件)，然后將其RSA密鑰放入authorized_keys文件中，”研究人員說。“此外，這個(gè)bash腳本用于下載非法礦工及其配置文件。該腳本通過安裝shell腳本作為cron作業(yè)來實(shí)現(xiàn)持久性。”

bash腳本還包含一個(gè)可執(zhí)行文件，可以解壓縮以部署其他漏洞和有效負(fù)載。有些是特別感興趣的，包括CVE-2018-7600在Drupal，CVE-2017-10271在甲骨文的WebLogic和CVE-2018至1273年春季數(shù)據(jù)共享，所有這些都可以利用遠(yuǎn)程執(zhí)行代碼。

此外，最新攻擊中使用的其他攻擊媒介包括利用CVE-2014-3120部署拒絕服務(wù)(DoS)惡意軟件并下載名為“LinuxT”的文件，該文件被認(rèn)為是Spike Trojan- 也稱為Black先生 - 用于x86，MIPS和ARM架構(gòu)。還發(fā)現(xiàn)了社交媒體帳戶，這些帳戶可能與LinuxT有效載荷的下降有關(guān)，并且建議鏈接到中國(guó)攻擊者。

“考慮到數(shù)據(jù)集的大小和敏感性，這些集群包含違反這種性質(zhì)的影響可能非常嚴(yán)重，”思科Talos說。

研究人員還建議，在可能的情況下，升級(jí)版本并禁用Elasticsearch中發(fā)送腳本的能力應(yīng)該在服務(wù)器設(shè)置中實(shí)現(xiàn)。

11月，ElasticSearch服務(wù)器在互聯(lián)網(wǎng)上暴露了近兩周，其中包含近5700萬(wàn)美國(guó)公民的個(gè)人身份信息(PII)。

服務(wù)器上的幾個(gè)數(shù)據(jù)庫(kù)中包含超過73GB的數(shù)據(jù)，包括姓名，電子郵件和家庭地址，電話號(hào)碼和IP等信息。