Атакующие начали использовать уязвимости в распределенном поисковом движке Elasticsearch для установки DDoS-вредоносов на облачных серверах Amazon и других облачных провайдеров. Elasticsearch — это набирающий популярность открытый поисковый движок, реализованный на Java и позволяющий приложениям производить полнотекстовый поиск различных типов документов посредством REST API (representational state transfer application programming interface). Из-за его распределенной архитектуры, позволяющей работать на множестве узлов сразу, Elasticsearch часто применяется в вычислительных облаках. Он уже был развернут на Amazon Elastic Compute Cloud, Microsoft Azure, Google Compute Engine и других облачных платформах. Версии Elasticsearch 1.1.x поддерживают активный скриптинг посредством API-вызовов по умолчанию. Эта функция представляет определенную опасность, так как не требует аутентификации, а сами скрипты не выполняются в «песочнице». Специалисты по информационной безопасности ранее уже сообщали о проблемах в Elasticsearch, связанных со скриптингом. Уязвимость CVE-2014-3120 уже описывает возможность удаленного исполнения кода в системе. Разработчики продукта не выпустили патч для ветки 1.1.X, но начиная с 1.2.0 динамический скриптинг по умолчанию отключен. Сейчас специалисты из «Лаборатории Касперского» говорят об обнаружении троянской Linux-программы Mayday, которая запускает DDoS-атаки, в том числе и атаки типа DNS amplification, посредством уязвимости. Один из вариантов Mayday был выявлен на серверах Amazon EC2. Курт Баумгартнер, специалист «Лаборатории Касперского», говорит, что в случае с Amazon взлом был проведен через Elasticsearch, который все еще используется некоторыми организациями, даже несмотря на доступность версий 1.2.x и 1.3.x. Также на скомпрометированных машинах специалисты нашли веб-оболочки для управления сервером. Выявленная версия Mayday на серверах Amazon во время работы не использовала DNS amplification, ограничиваясь во время атак UPD-флудингом. Среди целей вредоноса антивирусная компания выделила американский региональный банк и японскую компанию сервис-провайдера.
Источник