Elasticsearch versiones 1.4.2 y anteriores vulnerables a infección de malware

Dos antiguas vulnerabilidades fueron explotadas, presuntamente por hackers chinos

Los equipos de seguridad en redes de Cisco detectaron recientemente intrusiones de hackers maliciosos apuntando contra clústeres de Elasticsearch para explotar vulnerabilidades encontradas con anterioridad para realizar diversas acciones maliciosas como la inyección de malware y la minería de criptomoneda, reportan expertos del Instituto Internacional de Seguridad Cibernética.

“Los hackers se encuentran atacando a los usuarios de las versiones 1.4.2 y anteriores”, mencionaron los expertos en seguridad en redes, después de publicar un informe de la actividad detectada por un honeypot.

Dadas las técnicas de ataque usadas, los expertos creen que este grupo de hackers podría ser originario de China. En el ataque fueron explotadas dos vulnerabilidades descubiertas en los años 2014 y 2015, usadas para pasar scripts a las consultas de búsqueda, lo que permitió a os hackers acceder a los equipos más antiguos y desplegar la carga útil. Elasticsearch 1.4.2 fue lanzado a finales de 2014.

“La vulnerabilidad de 2014 (CVE-2014-3120) permite a los atacantes ejecutar expresiones MVEL arbitrarias, en tanto que la vulnerabilidad de 2015 (CVE-2015-1427) permite a los hackers esquivar los entornos de sandbox para ejecutar comandos de shell arbitrarios a través de una compleja secuencia de comandos”, mencionan los expertos en seguridad en redes.

Los equipos de seguridad agregaron: “la primer carga útil entregada invoca a wget para descargar un script de bash, en tanto que las segunda usa un JavaScript confuso para invocar a bash y descargar el mismo script con wget. Probablemente se trate de un intento de hacer que el exploit sea funcional en múltiples plataformas”.

Un funcionario de Cisco reportó algunas de las incidencias causadas por este ataque: “Hemos encontrado casos de ataques de denegación de servicio (DoS), minería de criptomoneda e intentos por integrar los sistemas comprometidos en botnets”.

Aunque los expertos no atribuyeron explícitamente la autoría del ataque a grupos de hackers chinos, en su informe especificaron que el identificador numérico de una cuenta de la red social china QQ fue vista en uno de los comandos ejecutados por una de las cargas útiles del ataque.

“Analizamos la actividad de la cuenta pública de 952135763 y encontramos varias publicaciones relacionadas con la ciberseguridad y la explotación de vulnerabilidades, aunque no encontramos nada relacionado con este ataque en particular. Aunque estos detalles podrían brindar información para encontrar a los hackers responsables del ataque, no disponemos aún de la información suficiente para conocer a los atacantes”, concluyeron los expertos.

(Visited 98,1 times)