/ Security / Mehrere tausend ElasticSearch-Server als Botnet abkommandiert

Mehrere tausend ElasticSearch-Server als Botnet abkommandiert

Moritz Rosenfeld on September 17, 2017 - 2:42 pm in Security

Ein aus ElasticServern aufgebautes Botnet soll verschiedene Kampagnen von Point-of-Sale-Malware steuern. Wer einen derartigen Server betreibt, sollte diesen absichern – was offenbar nicht immer passiert.

Sicherheitsforscher von Kromtech haben eigenen Angaben zufolge ein aus 4000 gekaperten ElasticSearch-Servern bestehendes Botnet entdeckt. Die als Command-and-Control-Server missbrauchten Instanzen sollen sich zum Großteil in der Cloud von Amazon Web Services (AWS) befinden.

Unbekannte Kriminelle sollen darüber diverse Kampagnen von Point-of-Sale-Malware (POS) koordinieren. POS-Trojaner nisten sich zum Beispiel in Kassensystemen ein und ziehen Kreditkartendaten ab.

Zugang für alle offen – mal wieder

Das Kapern von Elastic-Search-Servern findet den Untersuchungen von Kromtech zufolge vor allem in der Amazon-Cloud statt, da man dort zum Teil kostenlose t2.micro-Instanzen nutzen kann. Die Sicherheitsforscher vermuten, dass viele Nutzer bei der Ersteinrichtung die Sicherheitseinstellungen überspringen: Die von ihnen entdeckten gekaperten Server setzen keine Authentifizierung voraus – die Tür ist so quasi für jedermann offen.

Die Binse, den Zugang durch Log-in-Daten zu beschränken, ist offenbar noch nicht bei allen angekommen. Spätestens jetzt sollte jeder, der etwas betreibt, was man aus dem Internet erreichen kann, einen Benutzernamen nebst Kennwort vergeben. Zusätzlich kann man in vielen Fällen den Zugriff auf bestimmte IP-Adressen beschränken und so potenzielle Angreifer aussperren.

Für diesen konkreten Fall empfehlen die Sicherheitsforscher Betreibern von ElasticSearch-Servern zudem etwa die Log-Dateien und den Traffic ihrer Instanzen zu überwachen. Auch das sollte in regelmäßigen Zeitabständen selbstverständlich sein. Zudem sollten Betreiber sicherstellen, dass sie eine aktuelle ElasticSearch-Version nutzen. Die gekaperten Instanzen setzen die veralteten Ausgaben 1.5.2 und 2.3.2 ein. Aktuell ist die Version 5.6.0. Beim Amazon Web Service kann derzeit maximal Ausgabe 5.5 zum Einsatz kommen. Weitere Sicherheitstipps für den Betrieb eines ElasticSearch-Servers gibt es direkt vom Anbieter. (des)

Read more on: Source

Comments are disabled