Хакеры внедрили DDoS-ботов на Amazon Cloud, эксплуатируя уязвимость в Elasticsearch

Неизвестные злоумышленники взломали облачный сервис Amazon Cloud и загрузили на его серверы троянца Mayday, выполняющего DDoS-атаки на определенные сайты. Это стало возможно благодаря использованию уязвимости в устаревшей версии Elasticsearch, установленной на серверах Amazon.

Elasticsearch –поисковое ПО, позволяющее приложениям выполнять полнотекстовый поиск различных документов. Благодаря своей распределенной архитектуре программа пользуется большим спросом среди облачных сервисов. Поисковик можно успешно развернуть на таких платформах, как Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine и подобных им.

Начиная с версии 1.1.х, Elasticsearch получил поддержку активного использования скриптов через вызовы API в конфигурации по умолчанию. Эта функция представляет собой угрозу безопасности, поскольку ее использование не требует аутентификации и скриптовый код не исполняется в безопасном окружении.

Уже сообщалось, что злоумышленники могут эксплуатировать скриптовые возможности Elasticsearch для выполнения произвольного кода на основном сервере. Разработчики программы выпустили обновление 1.2.0, исправляющее уязвимость CVE-2014-3120 и отключающее динамический скриптинг. Несмотря на это, Amazon отказались перейти на обновленную версию Elasticsearch.

По данным Курта Баумгартнера (Kurt Baumgartner) из "Лаборатории Касперского",  существует  новый вариант Mayday. Троянец, направленный на пользователей Linux, используется для DDoS-атак и поддерживает несколько технологий для их совершения, включая DNS-амплификацию. Эта модификация Mayday была обнаружена на одном из серверов Amazon EC2.

По словам Баумгартнера, преступники получили доступ к серверам EC2, используя уязвимость CVE-2014-3120. Хоть она и была исправлена в Elasticsearch 1.2.x и 1.3.х, некоторые организации до сих пор используют устаревшие версии 1.1.х.

Исследователям из ЛК удалось понаблюдать за ранними стадиями атак на серверы под управлением EC2. По их словам, взломщики использовали находящийся в открытом доступе код, эксплуатирующий уязвимость CVE-2014-3120, чтобы установить на уязвимые серверы бэкдор-скрипт, позволяющий злоумышленникам удаленно выполнять команды через сеть. 

Модифицированный вариант Mayday, заразивший EC2-сервера, не использовал DNS-амплификацию. Вместо этого использовалось наполнение UDP-трафиком. Это привело к тому, что подверженные атаке жертвы (среди которых был крупный региональный банк в США и японский производитель электроники) сменили свои IP-адреса и подключили защиту от DDoS-атак.

«Поток оказался достаточно мощным для того, чтобы Amazon оповестил своих клиентов о происходящем. Вероятно, другие облачные сервисы испытывают те же трудности», сказал Баумгартнер.

Пользователям Elasticsearch 1.1.х рекомендуется как можно скорее установить обновление 1.2 или 1.3, которое исправляет эту уязвимость. Для тех, кто планирует и дальше использовать скриптовые функции программы, разработчики выпустили рекомендации безопасности .