Kiberjinoyatchilar Elasticsearch klasterlariga hujum qilmoqda.
Elasticsearch klasterlariga hujumlar oltita turli kiberjinoyatchi guruhlar tomonidan kuchaygan.
Cisco Talos xavfsizlik tadqiqotchilari oltita turli kiberjinoyatchilar guruhlari tomonidan himoyalanmagan Elasticsearch klasterlariga qilingan hujumlarning ko’payishi haqida ogohlantirdilar. Hujumchilar Elasticsearch 1.4.2 va undan oldingi versiyalaridagi ma’lum zaifliklardan foydalanmoqdalar va tizimlarni zararli dasturlar va kriptovalyuta qazib oluvchilar bilan yuqtirish uchun skriptlardan foydalanmoqdalar. Ushbu zaifliklar, CVE-2014-3120 va CVE-2015-1427, skriptlarni qidiruv so’rovlariga yuborish imkonini beradi. CVE-2015-1427 uchun eksploitdan foydalanib, eng faol kiberjinoyatchilar guruhi ikkita foydali yuklamani yuklab olishga harakat qilmoqda. Turli usullardan foydalangan holda, ikkala foydali yuklama ham bir xil bash skriptini yuklab oladi – bu, ehtimol, hujumchilarning hujum maydonini kengaytirishga urinishi.
Yuklab olingan bash skripti xavfsizlik yechimlarini o’chirib qo’yishga urinadi va xostda ishlaydigan boshqa zararli jarayonlarni, jumladan, kriptovalyuta qazib oluvchilarni to’xtatadi va keyin o’zining RSA kalitini authorized_keys fayliga yuklaydi. Skript maqsadli tizimda saqlanib qoladi va hujumchilarga kriptovalyuta qazib oluvchilari va ularning konfiguratsiya fayllarini yuklab olish imkonini beradi.
Skript shuningdek, Drupal’dagi CVE-2018-7600, Oracle WebLogic’dagi CVE-2017-10271 va Spring Data Commons’dagi CVE-2018-1273 zaifliklari uchun eksploitlarni o‘z ichiga olgan ELF bajariluvchi fayli bilan UPX arxivini yuklab oladi. Ushbu eksploitlar odatda HTTPS orqali taqdim etiladi.
Ikkinchi eng faol guruh CVE-2014-3120 zaifligidan foydalanib, Bill Gates zararli dasturini yetkazib beradi, bu zararlangan tizimlarni xuddi shu nomdagi DDoS botnetiga qo’shadi. Uchinchi guruh ushbu zaiflikdan HTTP fayl serveridan LinuxT faylini yuklab olish uchun foydalanadi, ammo fayl hozirda serverda yo’q. Tadqiqotchilarning fikricha, fayl, ehtimol, x86, MIPS va ARM arxitekturalariga hujum qilish uchun mo’ljallangan Spike troyan dasturidir.
Qolgan uchta guruh tomonidan qo’llaniladigan ekspluatatsiyalar hech qanday zararli dastur yetkazib bermaydi.
