Elasticsearch Servers นับพันเครื่องถูกยึด เพื่อกระจาย PoS Malware

นักวิจัยด้านความปลอดภัยพบว่า Elasticsearch Servers มากกว่า 4,000 เครื่องถูกบุกรุกเพื่อกระจายและควบคุม PoS Malware โดยกว่า 99% ของ Servers ทั้งหมด รันอยู่บน Amazon AWS

Credit: helpnetsecurity

 

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยค้นพบว่ามี Elasticsearch Servers ที่ไม่ปลอดภัยมากกว่า 15,000 เครื่อง มีประมาณ 27% หรือกว่า 4,000 เครื่อง ถูกฝัง Malware ประเภท PoS (Point-of-Sales) ไว้ โดยพบว่าเป็น Malware ตระกูล AlinaPOS และ JackPOS แต่ที่น่าตกใจไปกว่านั้นคือ กว่า 99% ของเครื่องที่ถูกฝัง Malware รันอยู่บน Amazon Web Service

Bob Diachenko นักวิจัยจาก Kromtech Security Center กล่าวไว้ว่า Amazon Web Service (AWS) มี Free Tier ให้บริการสำหรับลูกค้า คือ T2 Micro ซึ่งเป็น Instance ขนาดเล็ก 1vCPU, 1GB Memory และพื้นที่ 10GB โดย T2 Micro ถูกออกแบบมาสำหรับ operation ที่ไม่ต้องการ workload สูงมากนัก เช่น Web Server, Dev Server และ Database Server ขนาดเล็ก โดยปัญหาของ T2 Micro Instance คือสามารถติดตั้ง Elasticsearch ได้เฉพาะเวอร์ชั่น 1.5.2 และ 2.3.2 เท่านั้น

Amazon เพิ่มความสะดวกสบายให้กับผู้ใช้งานโดยการสามารถติดตั้ง Elasticsearch บน Platform ของ Amazon ได้เพียงไม่กี่คลิก แต่โดยปกติแล้วผู้ใช้งานจะข้ามการตั้งค่าที่เกี่ยวกับความปลอดภัยเกือบทั้งหมดระหว่าง Quick Installation Process ด้วยช่องโหว่ตรงนี้ ทำให้เครื่องที่ติดตั้ง Elasticsearch สามารถถูกบุกรุกได้อย่างง่ายดาย กลายเป็น PoS Botnet จำนวนมาก ที่มาพร้อมกับฟังก์ชัน command-and-control (C&C) สำหรับ PoS malware client

Diachenko แนะนำว่าเจ้าของเครื่อง Server ที่ติดตั้ง Elasticsearch ควรตรวจสอบว่าถูกฝัง Malware ไว้หรือไม่ หากพบควรรีบทำการแก้ไขทันที รวมไปถึงการเพิ่มมาตรการด้านความปลอดภัยมากขึ้น เช่น

  • ติดตั้ง Elasticsearch Patch เวอร์ชั่นล่าสุด
  • ปิดพอร์ตที่ไม่จำเป็นจากการเข้าถึงจากภายนอก
  • ทำ White-list สำหรับ Trusted-IPs เพื่อเข้าถึง Elasticsearch Server

ที่มา: https://www.helpnetsecurity.com/2017/09/14/unsecured-elasticsearch-servers/



About นักเขียนฝึกหัดหมายเลข 3

Check Also

Azure DNS สนับสนุน CAA record และ IPv6 Nameservers แล้ว

Azure ได้ออกมาประกาศสนับสนุน DNS Features ที่สามารถรองรับการใช้งาน CAA Record และ IPv6 Nameserver ได้แล้ว

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …