Amazon Cloud bị tấn công vào lỗi bảo mật đã được cảnh báo

Những kẻ tấn công nhắm mục tiêu vào EC2 thông qua lỗi phần mềm phân phối công cụ tìm kiếm Elasticsearch 1.1.x

Với cuộc tấn công này, tin tặc khai thác lỗ hổng trong phần mềm phân phối công cụ tìm kiếm Elasticsearch để cài đặt phần mềm trên Amazon và một số máy chủ Cloud khác.

Elasticsearch là một máy chủ được thiết kế cho công cụ tìm kiếm ngày càng phổ biến và được phát triển từ Java cho phép các ứng dụng thực hiện truy xuất dưới nhiều hình thức nội dung thông qua API REST (Representation State Transfer). Elasticsearch được xây dựng dưới dạng mã nguồn mở cho việc tìm kiếm dữ liệu trên máy chủ. Đó là một giải pháp mở rộng, hỗ trợ tìm kiếm thời gian thực mà không cần có một cấu hình đặc biệt. Elasticsearch thường được sử dụng trong các môi trường điện toán đám mây, ứng dụng này được triển khai trên Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine và các nền tảng điện toán đám mây khác.

amazon-30-7

của Amazon bị tấn công vì lỗi chủ quan.

Phiên bản 1.1.x của Elasticsearch hỗ trợ  kích hoạt Script thông qua các lệnh gọi API có sẵn trong cấu hình mặc định. Tính năng này tạo ra nguy cơ bảo mật bởi vì nó không yêu cầu xác thực và mã khởi chạy. Các nhà nghiên cứu an ninh mạng hồi đầu năm 2014 đã đưa ra các báo cáo cho rằng những kẻ tấn công có thể khai tác Script (mã kịch bản) của Elasticsearch để đưa vào các đoạn mã tùy chỉnh trên máy chủ. Nội dung được đề cập đến cụ thể như CVE-2014-3120 trong các lỗ hổng thường gặp và Exposures (CVE) cơ sở dữ liệu. Nhóm phát triển của Elasticsearch đã không phát hành một bản vá lỗi cho phiên bản 1.1.x, thay vào đó họ nâng cấp lên phiên bản 1.2.0 và đóng tính năng này trong cấu hình mặc định.

Tuần trước các nhà nghiên cứu bảo mật từ Kaspersky Lab phát hiện biến thể mới của mã độc Mayday, một chương trình Trojan chạy trên nền Linux được sử dụng để tấn công từ chối dịch vụ (DDos). Một trong những biến thể Mayday mới đã được tìm thấy trên máy chủ Amazon EC2, nhưng đây không phải là nền tảng duy nhất tấn công.

Những kẻ tấn công đột nhập vào EC2 – máy chủ ảo của khách hàng Amazon EC2  bằng cách khai thác lỗi CVE-2014-3120 dễ bị tổn thương trong Elasticsearch 1.1.x. Các đợt tấn công từ xa khiến một ngân hàng lớn của Mỹ, một hãng sản xuất điện tử và cung cấp dịch vụ lớn của Nhật bị ảnh hưởng khá nặng nề. Amazon đã gửi cảnh báo đến khách hàng trước các tình huống đang diễn ra. Nếu người dùng đang sử dụng Elasticsearch 1.1.x thì nên nâng cấp lên phiên bản mới nhất và làm theo khuyến nghị từ các chuyên viên an ninh mạng.

Theo: PCWorld VN

Bài viết liên quan