Global Preloader
Vulnerabilidad
(01/Mar/2019) VULNERABILIDADES ANTIGUAS AFECTAN A LOS SERVIDORES DE ELASTICSEARCH

VULNERABILIDADES ANTIGUAS AFECTAN A LOS SERVIDORES DE ELASTICSEARCH

Esta semana, investigadores en Ciberseguridad de Cisco Talos advirtieron  sobre una nueva ola de ataques diseñados para eliminar minería de malware y de criptomonedas provenientes de 6 grupos distintos de hackers, ya que se ha detectado un aumento de incidentes contra los sistemas.

Los servidores de Elasticsearch, en particular, han sido el blanco debido a que siguen manejando versiones anteriores de software y los atacantes aprovechan los scripts para eliminar tanto a los mineros de malware como de criptomoneda; es decir, las vulnerabilidades antiguas están proporcionando la vía para ataques exitosos.

Asimismo, los hackers tratan de explotar las fallas CVE-2014-3120 y CVE-2015-1427 con el  objetivo de pasar scripts y realizar consultas. Sin embargo, CVE-2015-1427 es la falla más usada gracias a 2 métodos; la descarga del scripts y la implementación del exploit en una gama más amplia de plataformas.

Además que la secuencia de comandos descarga un ejecutable ELF con UPX que contiene vulnerabilidades dirigidas a otros sistemas para la ejecución remota de CVE-2018-7600 en Drupal, CVE-2017-10271 en Oracle WebLogic y CVE-2018-1273 en Spring Data Commons a través de HTTPS.

“La secuencia de comandos de bash utilizada por el atacante sigue un patrón comúnmente observado para deshabilitar las protecciones de seguridad y eliminar una variedad de otros procesos maliciosos (principalmente otro malware de minería), antes de colocar su clave RSA en el archivo authorized_keys”, dijo el investigador.

Por último, los investigadores sugieren la actualización de compilaciones y la inhabilitación de la capacidad de enviar scripts en Elasticsearch lo más pronto posible e implementar las configuraciones en el servidor.

Fuente secundaria:

https://www.securityweek.com/elasticsearch-clusters-under-attack-multiple-hacking-groups