Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng trên Elasticsearch cho phép tin tặc cài malware DDoS trên Amazon Cloud
Kẻ xấu đang cố gắng khai thác một lỗ hổng trên phiên bản cũ của phần mềm phân phối công cụ tìm kiếm Elasticsearch để cài đặt malware tấn công DDoS trên dịch vụ Amazon Elastic Compute Cloud (EC2).
Elasticsearch là một server tìm kiếm nguồn mở có thể được dùng để tìm kiếm nhiều loại tài liệu khác nhau, ưu điểm của phần mềm là khả năng mở rộng, tìm kiếm gần thời gian thực (real-time search) và hỗ trợ đa độ trễ (multi-latency).
Lỗ hổng CVE-2014-3120 tồn tại trong tính năng kích hoạt script của Elasticsearch. Khai thác thành công, tin tặc có thể thực thi mã tùy chọn từ xa trên máy chủ cài đặt phần mềm. Lời khuyên dành cho các quản trị, nếu không thể update Elasticsearch thì không nên dùng tính năng này.
Hiện tại, các phiên bản có lỗ hổng của Elasticsearch (1.1.x) vẫn còn hoạt động trên máy chủ EC2 của một số tổ chức. Tin tặc sử dụng mã khai thác proof-of-concept đã được điều chỉnh cho phù hợp với mục đích, bổ sung web shell xây dựng trên ngôn ngữ Perl cho phép việc thực thi lệnh của shell trên Linux từ máy tính từ xa.
Thao tác này nhằm phát tán malware DDoS Backdoor.Linux.Mayday.g lên dịch vụ đám mây Amazon. Mặc dù có khả năng khuếch đại DNS nhưng biến thể hiện tại của Mayday chỉ tấn công flood UDP.
Một cuộc tấn công flood UDP có thể được bắt đầu bằng việc phát tán các gói tin UDP đến các cổng ngẫu nhiên khác nhau của các nạn nhân đã định trước. Nếu dòng dữ liệu quá lớn, trang mục tiêu sẽ không thể truy cập bởi các người dùng khác.
Các cuộc tấn công khuếch đại DNS thường mạnh hơn, bởi lượng thông tin trả lại là lớn hơn nhiều so với truy vấn ban đầu.
Nhưng ngay cả như vậy thì dòng dữ liệu cũng đủ mạnh để các nạn nhân DDoS buộc phải chuyển từ các địa chỉ IP hoạt động trên host bình thường sang các địa chỉ được bảo vệ khỏi DDoS. Chuyên gia Baumgartner của Kaspersky cho biết, Amazon đã phải thông báo cho khách hàng của mình, điều này chứng tỏ nguồn tài nguyên của Amazon có khả năng không đủ để chịu đựng đợt tấn công này.
Elasticsearch cũng có thể được cài đặt trên các giải pháp điện toán đám mây khác ngoài Amazon. Các hãng này có thể cũng phải đối mặt với một nguy cơ tương tự.
Theo Baumgartner, trong số các nạn nhân của vụ DDoS sử dụng Mayday có một ngân hàng lớn của Mỹ và một nhà sản xuất thiết bị và cung cấp dịch vụ điện tử nổi tiếng tại Nhật Bản.
Elasticsearch đã vá lỗ hổng bị sử dụng để xâm nhập hệ thống cloud vào hồi tháng năm. Phiên bản 1.2 của phần mềm mặc định không bật tính năng kích hoạt script nêu trên. Ngoài ra, phiên bản mới 1.3 đã được ra mắt vào ngày 23/07.
Elasticsearch là một server tìm kiếm nguồn mở có thể được dùng để tìm kiếm nhiều loại tài liệu khác nhau, ưu điểm của phần mềm là khả năng mở rộng, tìm kiếm gần thời gian thực (real-time search) và hỗ trợ đa độ trễ (multi-latency).
Lỗ hổng CVE-2014-3120 tồn tại trong tính năng kích hoạt script của Elasticsearch. Khai thác thành công, tin tặc có thể thực thi mã tùy chọn từ xa trên máy chủ cài đặt phần mềm. Lời khuyên dành cho các quản trị, nếu không thể update Elasticsearch thì không nên dùng tính năng này.
Hiện tại, các phiên bản có lỗ hổng của Elasticsearch (1.1.x) vẫn còn hoạt động trên máy chủ EC2 của một số tổ chức. Tin tặc sử dụng mã khai thác proof-of-concept đã được điều chỉnh cho phù hợp với mục đích, bổ sung web shell xây dựng trên ngôn ngữ Perl cho phép việc thực thi lệnh của shell trên Linux từ máy tính từ xa.
Thao tác này nhằm phát tán malware DDoS Backdoor.Linux.Mayday.g lên dịch vụ đám mây Amazon. Mặc dù có khả năng khuếch đại DNS nhưng biến thể hiện tại của Mayday chỉ tấn công flood UDP.
Một cuộc tấn công flood UDP có thể được bắt đầu bằng việc phát tán các gói tin UDP đến các cổng ngẫu nhiên khác nhau của các nạn nhân đã định trước. Nếu dòng dữ liệu quá lớn, trang mục tiêu sẽ không thể truy cập bởi các người dùng khác.
Các cuộc tấn công khuếch đại DNS thường mạnh hơn, bởi lượng thông tin trả lại là lớn hơn nhiều so với truy vấn ban đầu.
Nhưng ngay cả như vậy thì dòng dữ liệu cũng đủ mạnh để các nạn nhân DDoS buộc phải chuyển từ các địa chỉ IP hoạt động trên host bình thường sang các địa chỉ được bảo vệ khỏi DDoS. Chuyên gia Baumgartner của Kaspersky cho biết, Amazon đã phải thông báo cho khách hàng của mình, điều này chứng tỏ nguồn tài nguyên của Amazon có khả năng không đủ để chịu đựng đợt tấn công này.
Elasticsearch cũng có thể được cài đặt trên các giải pháp điện toán đám mây khác ngoài Amazon. Các hãng này có thể cũng phải đối mặt với một nguy cơ tương tự.
Theo Baumgartner, trong số các nạn nhân của vụ DDoS sử dụng Mayday có một ngân hàng lớn của Mỹ và một nhà sản xuất thiết bị và cung cấp dịch vụ điện tử nổi tiếng tại Nhật Bản.
Elasticsearch đã vá lỗ hổng bị sử dụng để xâm nhập hệ thống cloud vào hồi tháng năm. Phiên bản 1.2 của phần mềm mặc định không bật tính năng kích hoạt script nêu trên. Ngoài ra, phiên bản mới 1.3 đã được ra mắt vào ngày 23/07.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: