黑客在新的恶意软件活动找到弹性搜索集群

大家好，今日小科来聊聊一篇关于黑客在新的恶意软件活动中找到弹性搜索集群的文章，现在让我们往下看看吧！

根据思科Talos研究人员发布的一篇博文，攻击者使用1.4.2版及更早版本出现了一个目标集群，并使用旧漏洞将脚本传递给搜索查询并放弃攻击者的有效负载。研究人员发现，恶意软件和加密货币矿工被留在了目标机器上。

研究人员解释说，Elasticsearch通常用于管理非常大的数据集，因此由于有大量数据，成功攻击集群的后果可能是毁灭性的。

黑客一直在使用CVE-2015-1427部署两种不同的有效载荷。第一个负载调用wget下载bash脚本，而第二个负载使用混乱的Java调用bash，并使用wget下载相同的bash脚本。

研究人员还看到第二名黑客使用CVE-2014-3120提供有效载荷，这是比尔盖茨分布式拒绝服务恶意软件的衍生产品。研究人员表示：“这种恶意软件的再次出现值得注意，因为尽管Talos之前在我们的蜜罐中观察到了这种恶意软件，但大多数参与者已经从DDoS恶意软件转向了非法矿工。

据观察，第三名黑客利用对CVE-2014-3120的攻击，从HTTP文件服务器下载了一个名为“LinuxT”的文件。尝试下载“LinuxT”示例的主机也丢弃了命令“echo”QQ 952135763。'的有效负载。

“这种行为可以追溯到几年前，”研究人员说。

研究人员设置的蜜罐还检测到其他使用Elasticsearch的主机丢弃了执行“Echo”qq 952135763和“Echo”952135763的有效载荷，这表明这些攻击与同一个QQ账户有关。

“但是，没有观察到与这些攻击相关联的IP试图下载与该攻击者相关联的LinuxT有效负载。此外，与与该攻击者相关的其他活动不同，这些攻击利用了较新的弹性搜索漏洞，而不是较旧的漏洞，”研究人员说。

根据研究人员的说法，这些Elasticsearch漏洞只存在于1.4.2和更早的版本中，因此任何运行现代Elasticsearch的集群都不会受到这些漏洞的影响。研究人员警告说：“鉴于这些集群中包含的数据集的规模和敏感性，违反这一性质的影响可能非常严重。

如果可能，敦促使用弹性搜索的组织修补并升级到弹性搜索的更新版本。

这篇好文章是转载于：知行礼动