Une mise à jour est requise pour les utilisateurs d’Elasticsearch

Des experts en sécurité de Talos ont dernièrement découvert un accroissement du nombre d’agressions contre les clusters Elasticsearch réalisant des versions plus vieilles affectées par des fragilités connues. Six groupes de pirates au moins tentent d’exploiter les déploiements non sécurisés de ces serveurs vulnérables. Conçue pour le traitement de grands ensembles de données, le moteur de recherche distribué Elasticsearch écrit en Java est fréquemment utilisé dans les entreprises considérant des données big data. « En analysant en continu le trafic vers ses appâts, Talos a détecté une augmentation des attaques ciblant les clusters Elasticsearch non sécurisés », ont assuré cette semaine dans un rapport des chercheurs du groupe Talos de Cisco. « Ces attaques exploitent les vulnérabilités CVE-2014-3120 et CVE-2015-1427, que l’on trouve uniquement dans les anciennes versions d’Elasticsearch autorisant la transmission de scripts pour effectuer des recherches ».

L’exploit Elasticsearch utilisé pour plusieurs fins

Les exploits consacrent les versions Elasticsearch 1.4.2 et antérieures, les scripts malveillants délivrants des charges utiles différentes selon l’acteur. L’un des groupes établis souvent des programmes de minage de cryptomonnaie, mais il télécharge en conséquence une charge utile supplémentaire avec du code destiné à exploiter les vulnérabilités d’autres technologies, particulièrement la vulnérabilité CVE-2018-7600 dans Drupal, la vulnérabilité CVE-2017-10271 dans Oracle WebLogic, et la vulnérabilité CVE-2018-1273 dans Spring Data Commons. « En général, les exploits additionnels sont envoyés via HTTPS vers les systèmes ciblés », ont affirmé les chercheurs. « Comme le montre chacun de ces exploits, il semble que l’attaquant cherche à réaliser du code à distance sur des machines ciblées. L’analyse précise de l’échantillon de charge utile est en cours, et Talos fournira des mises à jour pertinentes si nécessaire ». Cependant, les scripts de bash malveillants font encore plus que livrer des exploits. Ils désactivent les protections de sécurité, suppriment les processus malveillants concurrents et ajoutent la clé SSH de l’attaquant à la liste des clés autorisées afin de parvenir un accès distant ininterrompu.

Un autre groupe de pirates ciblent les clusters Elasticsearch étudiés par la vulnérabilité CVE-2014-3120 pour étendre un programme malveillant engendré pour lancer des attaques par déni de service distribué (DDoS). Ce malware est une version personnalisée d’un ancien programme DDoS dénommé Bill Gates. Un troisième groupe exploite les défilés d’Elasticsearch pour établir un Cheval de Troie du nom de Spike dont il existe des variantes pour les architectures x86, MIPS et ARM CPU. Les artefacts laissés par ce groupe dirigent vers un compte QQ appartenant à un utilisateur chinois connu sur les forums de hackers. Les trois autres groupes repérés par Talos grâce aux appâts Elasticsearch n’exploitent aucun malware. Malgré cela, deux d’entre eux ont émis des commandes vers des serveurs d’empreintes de clé et l’un de ces groupes a émis la commande rm * utilisée sur les systèmes Linux pour supprimer tous les fichiers.

Un grand impact potentiel

« Compte tenu de la taille et de la sensibilité des ensembles de données détenus dans ces clusters, l’impact de ce type d’intrusion pourrait être sérieux », ont prévenu les experts de Talos. « Talos invite les utilisateurs à corriger, et si possible à mettre à jour, leur version d’Elasticsearch. De plus, Talos recommande fortement de étouffer l’envoi de scripts par le biais des requêtes de recherche si cette option n’est pas exclusivement nécessaire pour leurs cas d’usages ». En 2017, des attaques destructives contre les clusters Elasticsearch avaient déjà été repérées. Les pirates détruisaient toutes les données et laissaient derrière eux des demandes de rançon. Mais, ces demandes étaient un habillage, car rien ne montrait que les attaquants pouvaient réellement récupérer les données supprimées. À l’époque, l’architecte de systèmes distribués Itamar Syn-Hershko avait publié dans un blog des ordres pour sécuriser les déploiements d’Elasticsearch. Ces recommandations sont toujours d’actualité : ne pas exprimer les clusters Elasticsearch à Internet, désactiver le HTTP sur les clients Elasticsearch, utiliser d’autres ports que le port par défaut, limiter l’accès exclusivement aux adresses IP internes et contrôler le scripting.