Журнал "Information Security/ Информационная безопасность" #4, 2019

В июле 2019 г. исследо- ватели компании Trend Micro зафиксировали многочис- ленные атаки на серверы ElasticSearch, результатом которых становилось пре- вращение этих серверов в участников ботнета для организации DDoS-атак. Успех атакам обеспечила уязвимость CVE-2015-1427 в Groovy ElasticSearch, обна- руженная в версиях движка 1.3.0–1.3.7 и 1.4.0–1.4.2. привилегий – чрезвычайно удобные инструменты для киберпреступников. В июле 2019 г. исследователи компании Trend Micro зафикси- ровали многочисленные атаки на серверы ElasticSearch, резуль- татом которых становилось пре- вращение этих серверов в участ- ников ботнета для организации DDoS-атак. Успех атакам обес- печила уязвимость CVE-2015- 1427 в Groovy ElasticSearch, обнаруженная в версиях движка 1.3.0–1.3.7 и 1.4.0–1.4.2. Как происходит захват сервера Атака начинается с обнару- жения подходящих серверов ElasticSearch. Для этого исполь- зуется специально сконструи- рованный поисковый запрос с внедренными Java-командами (рис. 3). Если сервер уязвим, команды выполняются, загружая следую- щий скрипт с домена злоумыш- ленников, причем домены постоянно меняются. Загруженный скрипт s67.sh пытается "убить"» процессы межсетевого экрана и майнеров криптовалюты, а затем скачи- вает скрипт второй стадии s66.sh с подконтрольного зло- умышленникам взломанного сервера и запускает его на выполнение (рис. 4). Скрип второй стадии также пытается завершить процессы межсетевого экрана и майне- ров, удаляет файлы, относя- щиеся к конкурирующим крип- томайнерам, завершает работу нежелательных сетевых про- цессов и пытается очистить все следы первоначального зара- жения. Выполнив эти операции, скрипт загружает исполняемый файл вредоносного кода, кото- рый умеет похищать системную информацию и запускать DDoS- атаки. Как только он получит управление, сервер становится участником ботнета и послушно атакует цели, на которые ему укажут злоумышленники (рис. 5). Внедренный на сервер вре- доносный код позволяет выпол- нять DDoS на уровнях 3 и 4, перегружая интернет-каналы жертв с помощью UDP-, SYN- и ICMP-флуда, атаки с усилением (NTP, CoAP, Memcached) и дру- гих способов. Как защититься Обнаруженная Trend Micro атака в очередной раз демон- стрирует, насколько важно под- держивать в актуальном состоя- нии свои цифровые активы, устанавливая все обновления, выпущенные разработчиком. В случае с ElasticSearch обновленные версии 1.4.3 и 1.3.8 с исправленной уязви- мостью были выпущены еще в феврале 2015 г. 12 . Успешная эксплуатация этой уязвимости в середине 2019 г. говорит лишь о халатном отношении админи- страторов серверов к своим обязанностям. Документация по Elastic- Search содержит подробные рекомендации по настройке безопасности движка 13 . Их выполнение позволяет легко 28 • ТЕХНОЛОГИИ Рис. 3. Пример вредоносного запроса, который успешно выполняется на уязвимом сервере ElasticSearch. Источник: Trend Micro Рис. 4. Скрипт первой стадии. Источник: Trend Micro 12 https://www.elastic.co/blog/elasticsearch-1-4-3-and-1-3-8-released 13 https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-security.html ElasticSearch умеет искать документы различных типов, поддерживает многопользовательский поиск в режиме реального времени. Одна из из самых интересных возможностей продукта – способность разделять поисковый индекс на "осколки" (Shards), хранящиеся на различных серверах. Это дает возможность практически неограниченно наращивать нагрузочную способность системы.