Хакеры внедрили DDoS-ботов на Amazon Cloud, эксплуатируя уязвимость в Elasticsearch

Хакеры внедрили DDoS-ботов на Amazon Cloud

Неизвестные злоумышленники взломали облачный сервис Amazon Cloud и загрузили на его серверы троянца Mayday, выполняющего DDoS-атаки на определенные сайты. Это стало возможно благодаря использованию уязвимости в устаревшей версии Elasticsearch, установленной на серверах Amazon.

Elasticsearch –поисковое ПО, позволяющее приложениям выполнять полнотекстовый поиск различных документов. Благодаря своей распределенной архитектуре программа пользуется большим спросом среди облачных сервисов. Поисковик можно успешно развернуть на таких платформах, как Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine и подобных им, сообщает securitylab.ru.

Начиная с версии 1.1.х, Elasticsearch получил поддержку активного использования скриптов через вызовы API в конфигурации по умолчанию. Эта функция представляет собой угрозу безопасности, поскольку ее использование не требует аутентификации и скриптовый код не исполняется в безопасном окружении.

Уже сообщалось, что злоумышленники могут эксплуатировать скриптовые возможности Elasticsearch для выполнения произвольного кода на основном сервере. Разработчики программы выпустили обновление 1.2.0, исправляющее уязвимость CVE-2014-3120 и отключающее динамический скриптинг. Несмотря на это, Amazon отказались перейти на обновленную версию Elasticsearch.

По данным Курта Баумгартнера (Kurt Baumgartner) из "Лаборатории Касперского", существует новый вариант Mayday. Троянец, направленный на пользователей Linux, используется для DDoS-атак и поддерживает несколько технологий для их совершения, включая DNS-амплификацию. Эта модификация Mayday была обнаружена на одном из серверов Amazon EC2.

По словам Баумгартнера, преступники получили доступ к серверам EC2, используя уязвимость CVE-2014-3120. Хоть она и была исправлена в Elasticsearch 1.2.x и 1.3.х, некоторые организации до сих пор используют устаревшие версии 1.1.х.

Исследователям из ЛК удалось понаблюдать за ранними стадиями атак на серверы под управлением EC2. По их словам, взломщики использовали находящийся в открытом доступе код, эксплуатирующий уязвимость CVE-2014-3120, чтобы установить на уязвимые серверы бэкдор-скрипт, позволяющий злоумышленникам удаленно выполнять команды через сеть.

Модифицированный вариант Mayday, заразивший EC2-сервера, не использовал DNS-амплификацию. Вместо этого использовалось наполнение UDP-трафиком. Это привело к тому, что подверженные атаке жертвы (среди которых был крупный региональный банк в США и японский производитель электроники) сменили свои IP-адреса и подключили защиту от DDoS-атак.

«Поток оказался достаточно мощным для того, чтобы Amazon оповестил своих клиентов о происходящем. Вероятно, другие облачные сервисы испытывают те же трудности», сказал Баумгартнер.

Пользователям Elasticsearch 1.1.х рекомендуется как можно скорее установить обновление 1.2 или 1.3, которое исправляет эту уязвимость. Для тех, кто планирует и дальше использовать скриптовые функции программы, разработчики выпустили рекомендации безопасности .

Подробнее: http://www.securitylab.ru/news/455822.php

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В мессенджер Signal для Windows добавили поддержку Arm64

Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.

Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.

Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.

В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.

Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.

Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru