Elasticsearch Servers นับพันเครื่องถูกยึด เพื่อกระจาย PoS Malware

นักวิจัยด้านความปลอดภัยพบว่า Elasticsearch Servers มากกว่า 4,000 เครื่องถูกบุกรุกเพื่อกระจายและควบคุม PoS Malware โดยกว่า 99% ของ Servers ทั้งหมด รันอยู่บน Amazon AWS

Credit: helpnetsecurity

 

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยค้นพบว่ามี Elasticsearch Servers ที่ไม่ปลอดภัยมากกว่า 15,000 เครื่อง มีประมาณ 27% หรือกว่า 4,000 เครื่อง ถูกฝัง Malware ประเภท PoS (Point-of-Sales) ไว้ โดยพบว่าเป็น Malware ตระกูล AlinaPOS และ JackPOS แต่ที่น่าตกใจไปกว่านั้นคือ กว่า 99% ของเครื่องที่ถูกฝัง Malware รันอยู่บน Amazon Web Service

Bob Diachenko นักวิจัยจาก Kromtech Security Center กล่าวไว้ว่า Amazon Web Service (AWS) มี Free Tier ให้บริการสำหรับลูกค้า คือ T2 Micro ซึ่งเป็น Instance ขนาดเล็ก 1vCPU, 1GB Memory และพื้นที่ 10GB โดย T2 Micro ถูกออกแบบมาสำหรับ operation ที่ไม่ต้องการ workload สูงมากนัก เช่น Web Server, Dev Server และ Database Server ขนาดเล็ก โดยปัญหาของ T2 Micro Instance คือสามารถติดตั้ง Elasticsearch ได้เฉพาะเวอร์ชั่น 1.5.2 และ 2.3.2 เท่านั้น

Amazon เพิ่มความสะดวกสบายให้กับผู้ใช้งานโดยการสามารถติดตั้ง Elasticsearch บน Platform ของ Amazon ได้เพียงไม่กี่คลิก แต่โดยปกติแล้วผู้ใช้งานจะข้ามการตั้งค่าที่เกี่ยวกับความปลอดภัยเกือบทั้งหมดระหว่าง Quick Installation Process ด้วยช่องโหว่ตรงนี้ ทำให้เครื่องที่ติดตั้ง Elasticsearch สามารถถูกบุกรุกได้อย่างง่ายดาย กลายเป็น PoS Botnet จำนวนมาก ที่มาพร้อมกับฟังก์ชัน command-and-control (C&C) สำหรับ PoS malware client

Diachenko แนะนำว่าเจ้าของเครื่อง Server ที่ติดตั้ง Elasticsearch ควรตรวจสอบว่าถูกฝัง Malware ไว้หรือไม่ หากพบควรรีบทำการแก้ไขทันที รวมไปถึงการเพิ่มมาตรการด้านความปลอดภัยมากขึ้น เช่น

  • ติดตั้ง Elasticsearch Patch เวอร์ชั่นล่าสุด
  • ปิดพอร์ตที่ไม่จำเป็นจากการเข้าถึงจากภายนอก
  • ทำ White-list สำหรับ Trusted-IPs เพื่อเข้าถึง Elasticsearch Server

ที่มา: https://www.helpnetsecurity.com/2017/09/14/unsecured-elasticsearch-servers/



About นักเขียนฝึกหัดหมายเลข 3

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Microsoft เพิ่ม Container Images สำเร็จรูปบน Azure Marketplace แล้ว

Microsoft เพิ่ม Container Images สำเร็จรูปลงใน Azure Marketplace เป็นที่เรียบร้อยแล้ว เริ่มต้นใช้งานได้ทันที