Angreifer nutzen Schwachstellen in der Suchmaschinen-Software Elasticsearch, um DDoS-Malware auf Amazon und anderen Cloud-Servern zu installieren.

Elasticsearch ist ein zunehmend verbreiteter Service für Open-Source-Suchmaschinen, der in Java entwickelt wurde. Dies ermöglicht es Anwendungen, Volltextsuchen für verschiedene Dokumententypen über eine REST API durchzuführen.

Elasticsearch wird häufig in Cloud-Umgebungen genutzt, da die Architektur des Servers mehrere Knotenpunkte ermöglicht. Es kann auf der Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine und anderen Plattformen genutzt werden.

Die Versionen 1.1.x von Elasticsearch bieten Support für Active Scripting über API Aufrufe als Standardkonfiguration an. Diese Einstellung stellt ein Sicherheitsrisiko dar, da es keine Authentifizierung erfordert und der Skriptcode nicht abgeschirmt ist.

Sicherheitsforscher haben dies Anfang des Jahres veröffentlicht. Angreifer können demzufolge Elasticsearch Scripting-Option zur Ausführung von beliebigen Codes auf dem Server nutzen. In der Datenbank ist diese Schwachstelle als CVE-2014-3120 hinterlegt.

Ein Patch für die 1.1.x-Versionen wurde bisher noch nicht veröffentlicht, ab Version 1.2.0 haben die Entwickler von Elasticsearch das Dynamic Scripting in der Standardeinstellung deaktiviert. Die Version 1.2.0 ist seit dem 22. Mai erhältlich.

Vor kurzem nun fanden Sicherheitsforscher von Kaspersky Lab neue Varianten von Mayday, einem Trojaner für Linux. Dieser startet DDoS-Attacken und unterstützt diverse DDoS-Techniken. Eine dieser Mayday-Varianten wurde auf einem kompromittierten Amazon EC2 Server gefunden. Laut Kurt Baumgartner von Kaspersky ist dies aber nicht die einzige betroffene Plattform. Eindringen können die Hacker über die CVE-2014-3120 Schwachstelle in Elasticsearch 1.1.x. Diese Version wird von einigen Unternehmen immer noch genutzt, obwohl bereits Elasticsearch 1.2.x und 1.3.x erhältlich sind.

Die Kaspersky-Forscher konnten die Angriffe bereits zu einem frühen Zeitpunkt beobachten. Die Hacker haben demnach einen öffentlich zugänglichen Exploit-Code für CVE-2014-3120 modifiziert und zur Installation einer Perl-basierten Web-Shell genutzt. Dies ist ein Skript für eine Hintertür, das über Remote-Angriffe die Ausführung von Linux-Shell-Befehlen über das Internet ermöglicht. Produkte von Kaspersky entdecken dieses Skript als Backdoor.Perl.RShell.c. Es wird vor allem dazu genutzt, die neue Version des Mayday-DDoS-Bots herunterzuladen. Diese wird als Backdoor.Linux.Mayday.g entdeckt.

Die DDoS-Attacken hinterlassen signifikanten Traffic. Eine regionale US-amerikanische Bank sowie ein japanischer Hersteller von Elektronikgeräten mussten ihre IP-Adressen deswegen bereits zu einem anderen Anbieter verschieben.

Baumgartner dazu:

„Der Traffic ist so stark, dass Amazon nun Kunden benachrichtigt. Vor allem vor dem Hintergrund, dass deren Rechnung für Datennutzung steigen könnte. Bei anderen Cloud-Anbietern ist die Situation vermutlich ähnlich.“

Nutzer von Elasticsearch 1.1.x sollten auf eine neuere Version umsteigen. Wer die Scripting-Funktion nutzen möchte, sollte den Sicherheitsempfehlungen auf dem Blog des Unternehmens folgen.

Artikel von arstechnica.com, 28.07.2014: Hackers seed Amazon cloud with potent denial-of-service bots
Artikel von computerworld.com 28.07.2014: Attackers install DDoS bots on Amazon cloud, exploit Elasticsearch weakness