ElasticSearch-Server als Botnet missbraucht

Ein Botnet, das aus einer Vielzahl von ElasticSearch-Servern besteht, wird genutzt um verschiedene Point-of-Sale-Malware-Kampagnen zu steuern. Es ist empfehlenswert · dass Betreiber dieser Server ihre Sicherheitsvorkehrungen verstärken · da dies anscheinend nicht immer der Fall ist.


Die als Command-and-Control-Server missbrauchten Instanzen sollen sich zum Großteil in der Cloud von Amazon Web Services (AWS) befinden.

Unbekannte Kriminelle sollen darüber diverse Kampagnen von Point-of-Sale-Malware (POS) koordinieren. POS-Trojaner nisten sich zum Beispiel in Kassensystemen ein und ziehen Kreditkartendaten ab.

Zugang für alle offen ? mal wieder

Das Kapern von Elastic-Search-Servern findet den Untersuchungen von Kromtech zufolge vor allem in der Amazon-Cloud statt, da man dort zum Teil kostenlose t2.micro-Instanzen nutzen kann. Die Sicherheitsforscher vermuten, dass viele Nutzer bei der Ersteinrichtung die Sicherheitseinstellungen überspringen: Die von ihnen entdeckten gekaperten Server setzen keine Authentifizierung voraus ? die Tür ist so quasi für jedermann offen.

Die Binse, den Zugang durch Log-in-Daten zu beschränken ist offenbar noch nicht bei allen angekommen. Spätestens jetzt sollte jeder der etwas betreibt was man aus dem Internet erreichen kann, einen Benutzernamen nebst Kennwort vergeben. Zusätzlich kann man in vielen Fällen den Zugriff auf bestimmte IP-Adressen beschränken und so potenzielle Angreifer aussperren.

Für diesen konkreten Fall empfehlen die Sicherheitsforscher Betreibern von ElasticSearch-Servern zudem etwa die Log-Dateien und den Traffic ihrer Instanzen zu überwachen. Auch das sollte in regelmäßigen Zeitabständen selbstverständlich sein. Zudem sollten Betreiber sicherstellen, dass sie eine aktuelle ElasticSearch-Version nutzen. Die gekaperten Instanzen setzen die veralteten Ausgaben 1․5․2 und 2․3․2 ein. Aktuell ist die Version 5․6․0. Beim Amazon Web Service kann derzeit maximal Ausgabe 5․5 zum Einsatz kommen. Weitere Sicherheitstipps für den Betrieb eines ElasticSearch-Servers gibt es direkt vom Anbieter.

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige