Menú

ElasticSearch – Servidores no protegidos contienen malware

Los servidores de Elasticsearch que no estan protegidos contienen malware

Los investigadores de seguridad afirman que existen más de 4.000 servidores Elasticsearch comprometidos con el fin de distribuir y controlar el malware PoS. El 99% de estos servidores están alojados en Amazon manejando datos sensibles y siendo altamente peligrosos los reisgos implicitos hay que prestarle atención.

 

¿Qué es Elasticsearch?

Elasticsearch es la opción de los motores de búsqueda de las empresas que se ha vuelto muy popular hoy en día, esta basado en la biblioteca de software de recuperación de información de código abierto Lucene, es un código abierto por ende modificable y adaptable a los giros de la empresa y proporciona un motor de búsqueda de texto completo con una interfaz web HTTP y documentos JSON.

Tal ha sido la acogida de este software que varias organizaciones, incluyendo Amazon Web Services (AWS), ofrecen a Elasticsearch como un servicio administrado que se encargan de brindarte hosting, despliegan parches, respaldan tu información, te dan apoyo técnico, entre otros beneficios.

¿Por qué  son vulnerables los servidores de Elasticsearch principalmente con AWS?

Búsquedas en internet revelan unas 15.000 instancias de Elasticsearch expuestas en Internet, y solo el 27 % se encontraron archivos de alojamiento que indican que han sido comprometidos para servir como infraestructura C&C es decir sirven de centros de comando y control para el uso de malware para realizar ciber crimen siendo de mucha ayuda para las ramas de malware AlinaPOS y JackPOS.

Cabe resaltar  tambien que el 99% de los 4.067 servidores infectados están alojados en Amazon Web Services, y hay una explicación para eso.

“Amazon Web Services ofrece a sus clientes una instancia gratuita de T2 micro “EC2 / Elastic Compute Cloud” con hasta 10 GB de espacio en disco. Estas instancias de T2 están diseñadas para operaciones que no usan toda la capacidad del CPU en cargas de trabajo de propósito general, como servidores web, entornos de desarrolladores y bases de datos pequeñas. El problema es que el micro T2, se establece sólo las versiones 1.5.2 y 2.3.2 “, de Bob Kromtech Seguridad Diachenko explicó .

“La plataforma de alojamiento de Amazon ofrece la posibilidad de configurar el clúster Elasticsearch con sólo unos pocos clics y la gente omite toda la configuración de seguridad durante la instalación rápida. Aquí es donde un simple error puede tener grandes repercusiones y en este caso lo hizo con la exposición de una gran cantidad de datos sensibles”.

“La falta de autenticación permitió la instalación de malware en los servidores Elasticsearch”.

“La configuración pública permite que los ciberdelincuentes administren todo el sistema con todos los privilegios administrativos. Una vez que el malware está en su lugar, los delincuentes pueden acceder remotamente a los recursos del servidor e incluso iniciar una ejecución de código para robar o destruir por completo los datos guardados que el servidor contiene “, añadió.

Estos compromisos han estado ocurriendo por mucho tiempo, y las infecciones más recientes se remontan a finales de agosto de 2017, muchos de los servidores han sido infectados varias veces.

¿Ahora que se hace ?

Los propietarios de los servidores de Elasticsearch deben comprobar sus servidores si han sido comprometidos.

Deben buscar estos archivos contundentes y estructuras de archivos:

 

Diachenko aconseja comprobar sus archivos de registro, conexiones y tráfico, hacer una copia de seguridad de los sistemas en ejecución y reinstalar todos los sistemas comprometidos. “Instalar el último parche Elastic o reinstalarlo completamente, y cerrar todos los puertos no utilizados de acceso externo, o lista blanca sólo IPs de confianza”, concluyó.

Para más consejos sobre seguridad de Elastic Search aquí está una guía útil de Elastic, la compañía que desarrolla el motor de búsqueda.