Malware Zielt Auf Elasticsearch 1.4.2 High Quality

Malware Zielt Auf Elasticsearch 1.4.2 High Quality

Download > https://tinurll.com/2tvvPk

Malware zielt auf Elasticsearch 1.4.2 und nutzt alte Schwachstellen aus

Elasticsearch ist eine beliebte Open-Source-Suchmaschine, die von vielen Unternehmen und Organisationen verwendet wird, um groÃe Mengen von Daten zu analysieren und zu indizieren. Leider sind einige Elasticsearch-Server nicht ausreichend gesichert und laufen veraltete Softwareversionen, die anfÃllig fÃr Angriffe sind.

Cisco Talos, eine Cybersicherheitsfirma, hat kÃrzlich einen Anstieg der gezielten Malware-Angriffe gegen Elasticsearch-Server gemeldet, die Versionen 1.4.2 oder niedriger verwenden. Die Angreifer nutzen zwei bekannte Schwachstellen aus, die als CVE-2014-3120 und CVE-2015-1427 bezeichnet werden, um Skripte an Suchanfragen zu Ãbergeben und so den Zugriff auf die alten Maschinen zu erlangen und eine Schadsoftware ihrer Wahl abzulegen.

Die Schwachstellen wurden bereits 2014 bzw. 2015 gemeldet und ermÃglichen es den Angreifern, beliebige MVEL-AusdrÃcke und Java-Code (CVE-2014-3120) bzw. beliebige Shell-Befehle Ãber ein manipuliertes Skript (CVE-2015-1427) auszufÃhren. Elasticsearch Version 1.4.2 wurde erstmals im Dezember 2014 verÃffentlicht.

Die von Cisco Talos beobachteten Schadsoftware umfassen unter anderem KryptowÃhrungs-Miner, Denial-of-Service (DoS)-Malware, Trojaner und HintertÃren. Die Schadsoftware versucht auch, andere SicherheitsmaÃnahmen zu deaktivieren und andere bÃsartige Prozesse zu beenden, bevor sie ihre RSA-SchlÃssel in die authorized_keys-Datei einfÃgt. AuÃerdem erreicht sie Persistenz, indem sie Shell-Skripte als Cron-Jobs installiert.

Cisco Talos hat sechs verschiedene Bedrohungsakteure identifiziert, die die Schwachstellen ausnutzen. Einige von ihnen scheinen ihren Ursprung in China zu haben, basierend auf den verwendeten IP-Adressen und sozialen Netzwerk-Konten.

Die Angriffe zeigen, wie wichtig es ist, Elasticsearch-Server regelmÃÃig zu aktualisieren und zu sichern, um sich vor bekannten und unbekannten Bedrohungen zu schÃtzen. Elasticsearch bietet mehrere Sicherheitsfunktionen an, wie z.B. Authentifizierung, VerschlÃsselung, Rollenbasierte Zugriffskontrolle und Audit-Logging.

Elasticsearch kann auch verwendet werden, um Anzeichen von Ransomware wie WannaCry zu erkennen, indem es Signaturen im Zusammenhang mit dem Download, der Infektion, der Verbreitung und der Kill-Switch-AktivitÃt der Ransomware analysiert und visualisiert.

Quellen:

Running Elasticsearch 1.4.2 or earlier There's targeted malware going for your boxen â The Register

Targeted malware attacks against Elasticsearch servers surge ZDNet

Using Elasticsearch to Detect Signs of Ransomware like WannaCry aa16f39245