Breaking News

Elasticsearch Servers นับพันเครื่องถูกยึด เพื่อกระจาย PoS Malware

นักวิจัยด้านความปลอดภัยพบว่า Elasticsearch Servers มากกว่า 4,000 เครื่องถูกบุกรุกเพื่อกระจายและควบคุม PoS Malware โดยกว่า 99% ของ Servers ทั้งหมด รันอยู่บน Amazon AWS

Credit: helpnetsecurity

 

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยค้นพบว่ามี Elasticsearch Servers ที่ไม่ปลอดภัยมากกว่า 15,000 เครื่อง มีประมาณ 27% หรือกว่า 4,000 เครื่อง ถูกฝัง Malware ประเภท PoS (Point-of-Sales) ไว้ โดยพบว่าเป็น Malware ตระกูล AlinaPOS และ JackPOS แต่ที่น่าตกใจไปกว่านั้นคือ กว่า 99% ของเครื่องที่ถูกฝัง Malware รันอยู่บน Amazon Web Service

Bob Diachenko นักวิจัยจาก Kromtech Security Center กล่าวไว้ว่า Amazon Web Service (AWS) มี Free Tier ให้บริการสำหรับลูกค้า คือ T2 Micro ซึ่งเป็น Instance ขนาดเล็ก 1vCPU, 1GB Memory และพื้นที่ 10GB โดย T2 Micro ถูกออกแบบมาสำหรับ operation ที่ไม่ต้องการ workload สูงมากนัก เช่น Web Server, Dev Server และ Database Server ขนาดเล็ก โดยปัญหาของ T2 Micro Instance คือสามารถติดตั้ง Elasticsearch ได้เฉพาะเวอร์ชั่น 1.5.2 และ 2.3.2 เท่านั้น

Amazon เพิ่มความสะดวกสบายให้กับผู้ใช้งานโดยการสามารถติดตั้ง Elasticsearch บน Platform ของ Amazon ได้เพียงไม่กี่คลิก แต่โดยปกติแล้วผู้ใช้งานจะข้ามการตั้งค่าที่เกี่ยวกับความปลอดภัยเกือบทั้งหมดระหว่าง Quick Installation Process ด้วยช่องโหว่ตรงนี้ ทำให้เครื่องที่ติดตั้ง Elasticsearch สามารถถูกบุกรุกได้อย่างง่ายดาย กลายเป็น PoS Botnet จำนวนมาก ที่มาพร้อมกับฟังก์ชัน command-and-control (C&C) สำหรับ PoS malware client

Diachenko แนะนำว่าเจ้าของเครื่อง Server ที่ติดตั้ง Elasticsearch ควรตรวจสอบว่าถูกฝัง Malware ไว้หรือไม่ หากพบควรรีบทำการแก้ไขทันที รวมไปถึงการเพิ่มมาตรการด้านความปลอดภัยมากขึ้น เช่น

  • ติดตั้ง Elasticsearch Patch เวอร์ชั่นล่าสุด
  • ปิดพอร์ตที่ไม่จำเป็นจากการเข้าถึงจากภายนอก
  • ทำ White-list สำหรับ Trusted-IPs เพื่อเข้าถึง Elasticsearch Server

ที่มา: https://www.helpnetsecurity.com/2017/09/14/unsecured-elasticsearch-servers/



About นักเขียนฝึกหัดหมายเลข 3

Check Also

Palo Alto Networks Webinar: จัดการ Cloud-Native อย่างไรให้มั่นคงปลอดภัยในยุค New Normal

Palo Alto Networks ร่วมกับ Google และ NTT (Thailand) ขอเรียนเชิญเหล่า IT Manager, DevOps Engineer, Software Developer และ System Engineer เข้าร่วมสัมมนาออนไลน์เรื่อง “จัดการ Cloud-Native อย่างไรให้มั่นคงปลอดภัยในยุค New Normal” พร้อมร่วมพูดคุยกับผู้เชี่ยวชาญทั้งจาก GCP และ Palo Alto Networks เพื่อให้รู้จักและเข้าใจการใช้งาน Kubernetes ได้ดียิ่งขึ้น ตลอดจนการสร้างความมั่นคงปลอดภัยซึ่งเป็นสิ่งสำคัญและเรื่องท้าทายที่ทุกองค์กรต้องเผชิญ ในวันอังคารที่ 21 กรกฎาคม 2020 เวลา 14:00 – 15:30 น. ผ่าน Live Webinar

Juniper Networks ออกแพตช์ช่องโหว่หลายรายการให้ Junos OS

มีการอัปเดตแพตช์หลายรายการบน Junos OS หรือระบบปฏิบัติการของผลิตภัณฑ์ Juniper Networks รวมถึงยังมีแพตช์ครอบคลุมไปถึง Juniper Secure Analytics, Junos Space และ Junos Space …