Хакеры внедрили DDoS-ботов на Amazon Cloud, эксплуатируя уязвимость в Elasticsearch

Хакеры внедрили DDoS-ботов на Amazon Cloud

Неизвестные злоумышленники взломали облачный сервис Amazon Cloud и загрузили на его серверы троянца Mayday, выполняющего DDoS-атаки на определенные сайты. Это стало возможно благодаря использованию уязвимости в устаревшей версии Elasticsearch, установленной на серверах Amazon.

Elasticsearch –поисковое ПО, позволяющее приложениям выполнять полнотекстовый поиск различных документов. Благодаря своей распределенной архитектуре программа пользуется большим спросом среди облачных сервисов. Поисковик можно успешно развернуть на таких платформах, как Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine и подобных им, сообщает securitylab.ru.

Начиная с версии 1.1.х, Elasticsearch получил поддержку активного использования скриптов через вызовы API в конфигурации по умолчанию. Эта функция представляет собой угрозу безопасности, поскольку ее использование не требует аутентификации и скриптовый код не исполняется в безопасном окружении.

Уже сообщалось, что злоумышленники могут эксплуатировать скриптовые возможности Elasticsearch для выполнения произвольного кода на основном сервере. Разработчики программы выпустили обновление 1.2.0, исправляющее уязвимость CVE-2014-3120 и отключающее динамический скриптинг. Несмотря на это, Amazon отказались перейти на обновленную версию Elasticsearch.

По данным Курта Баумгартнера (Kurt Baumgartner) из "Лаборатории Касперского", существует новый вариант Mayday. Троянец, направленный на пользователей Linux, используется для DDoS-атак и поддерживает несколько технологий для их совершения, включая DNS-амплификацию. Эта модификация Mayday была обнаружена на одном из серверов Amazon EC2.

По словам Баумгартнера, преступники получили доступ к серверам EC2, используя уязвимость CVE-2014-3120. Хоть она и была исправлена в Elasticsearch 1.2.x и 1.3.х, некоторые организации до сих пор используют устаревшие версии 1.1.х.

Исследователям из ЛК удалось понаблюдать за ранними стадиями атак на серверы под управлением EC2. По их словам, взломщики использовали находящийся в открытом доступе код, эксплуатирующий уязвимость CVE-2014-3120, чтобы установить на уязвимые серверы бэкдор-скрипт, позволяющий злоумышленникам удаленно выполнять команды через сеть.

Модифицированный вариант Mayday, заразивший EC2-сервера, не использовал DNS-амплификацию. Вместо этого использовалось наполнение UDP-трафиком. Это привело к тому, что подверженные атаке жертвы (среди которых был крупный региональный банк в США и японский производитель электроники) сменили свои IP-адреса и подключили защиту от DDoS-атак.

«Поток оказался достаточно мощным для того, чтобы Amazon оповестил своих клиентов о происходящем. Вероятно, другие облачные сервисы испытывают те же трудности», сказал Баумгартнер.

Пользователям Elasticsearch 1.1.х рекомендуется как можно скорее установить обновление 1.2 или 1.3, которое исправляет эту уязвимость. Для тех, кто планирует и дальше использовать скриптовые функции программы, разработчики выпустили рекомендации безопасности .

Подробнее: http://www.securitylab.ru/news/455822.php

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru