خوشه‌های Elasticsearch هدف جدید نفوذگران برای حمله و درخواست باج

در خبرها شنیدیم که نفوذگران پایگاه داده‌ی MongoDB را هدف قرار داده بودند و بعد از حذف پرونده‌های پایگاه داده از مدیران آن باج درخواست می‌کردند. در حال حاضر نفوذگران اهداف جدیدی را برای حملاتی مشابه پیدا کرده‌اند و این اهداف جدید خوشه‌های Elasticsearch هستند.

چندی پیش در خبرها گزارش دادیم که پایگاه داده‌های MongoDB هدف حمله‌ی مهاجمان سایبری قرار گرفته است. نفوذگران به پایگاه‌ داده‌های حفاظت‌نشده نفوذ کرده و اطلاعات آن را حذف و یک نسخه رونویس از آن برای خود تهیه می‌کنند. در ادامه نیز برای بازگرداندن اطلاعات، از مدیر پایگاه داده باج درخواست می‌کنند.

اینک به نظر می‌رسد مهاجمان حملات مشابهی را علیه خوشه‌های Elasticsearch شروع کرده‌اند. این خوشه‌ها نیز حفاظت نشده‌اند و در سطح اینترنت قابل دسترسی هستند.
پروژه‌ی Elasticsearch یک موتور جستجوی متن‌باز و رایگان مبتنی بر کتابخانه‌ی نرم‌افزاری بازیابی اطلاعات است که به زبان جاوا توسعه داده شده است. این پروژه توسط سازمان‌های بسیاری در سراسر دنیا مورد استفاده قرار می‌گیرد.
گزارش این حملات اولین بار در انجمن پشتیبانی این پروژه مطرح شد. زمانی‌که یکی از کاربران اعلام کرد که نفوذگران تمامی نمایه‌های موجود در این موتور جستجو را حذف کرده و به‌جای آن نمایه‌های warning را اضافه کرده‌اند.

این کاربر در داده‌های نمایه‌ی خام پیامی را پیدا کرد. در این پیام آمده است: «اگر می‌خواهید پایگاه داده‌ی خود را بازیابی کنید، ۰.۲ بیت‌کوین به این کیف پول ارسال کنید: ۱DAsGY۴Kt۱a۴LCTPMH۵vm۵PqX۳۲eZmot۴r. پس از پراخت بیت‌کوین، آدرس IP کارگزار خود را به این آدرس رایانامه ارسال کنید…» این دقیقاً مشابه پیامی است که در حمله به پایگاه داده‌های MongoDB نیز وجود داشت.

به گزارش یک محقق امنیتی بیش از ۶۰۰ خوشه‌ی Elasticsearch از این طریق، هدف حمله‌ی نفوذگران قرار گرفته است. متأسفانه تعداد خوشه‌های Elasticsearch که از طریق اینترنت قابل دسترسی هستند بسیار زیاد بوده و به ۳۵ هزار مورد می‌رسد. کارشناسان امنیتی معتقدند تعداد خوشه‌های Elasticsearch که در معرض خطر قرار دارند، رفته‌رفته افزایش پیدا خواهد یافت مشابه اتفاقی که برای پایگاه داده‌ی MongoDB رخ داد.

محققان امنیتی از شرکت Itamar Syn-Hershko توصیه‌هایی را برای محافظت از خوشه‌های Elasticsearch منتشر کردند. در این گزارش آمده است: «آیا یک صفحه‌ی وب مربوط به برنامه‌ی پرس‌وجوی الاستیک دارید که نتایج را نیز در حالت jsons نمایش می‌دهد؟ این برنامه را در پسِ یک پالاینده‌ی درخواست قرار دهید، رکوردهای ثبت‌شده توسط آن را بررسی کرده و مهم‌تر از همه داده‌های خود را با گذرواژه محافظت کنید. اگر این کارها را انجام ندهید، دارای یک آدرس IP عمومی خواهید بود که در سطح اینترنت قابل دسترسی است، تغییرات ناخواسته بر روی داده‌های شما قابل انجام است و بدتر از همه شما هیچ کنترلی بر روی دسترسی داده‌ها ندارید و همه می‌توانند داده‌های شما را ببینند. همه‌ی این‌ها اتفاقاتی است که در حال حاضر برای خوشه‌های Elasticsearch رخ می‌دهد.»

کارشناسان امنیتی توصیه می‌کنند کاربران ویژگی‌هایی را که به آن نیازی ندارند، غیرفعال کنند. یکی از این ویژگی‌ها اسکریپت‌نویسی پویا به زبان غیر جعبه شنی است که در نسخه‌های قدیمی این پروژه مورد استفاده قرار گرفته است. طبق معمول باید توصیه کنیم در صورتی‌که مورد نفوذ قرار گرفتید، به‌هیچ عنوان باج را پرداخت نکرده و با مراجع قانونی تماس بگیرید.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap