15 000 SERVEURS ELASTICSEARCH ÉLIMINÉS ET ENDOMMAGÉS PAR UN HACKER

Posté le avril 3, 2020 à 20:08

15 000 SERVEURS ELASTICSEARCH ÉLIMINÉS ET ENDOMMAGÉS PAR UN HACKER

Des rapports ont révélé qu’un hacker a exploité les serveurs Elasticsearch au cours des deux dernières semaines. Alors que le hacker essayait de s’introduire dans le système, il a également fait porter le chapeau à l’entreprise de sécurité Night Lion pour cette attaque.

John Wethington, un chercheur en sécurité britannique, a découvert les activités du hacker et l’a immédiatement signalé. Selon lui, la première vague d’attaque sur Elasticsearch a commencé le 24 mars.

Selon le chercheur, l’attaque semble avoir été perpétrée à l’aide d’un script automatisé qui scanne Internet à la recherche de systèmes ElasticSearch non sécurisés. Une fois que le hacker trouve ces systèmes non protégés, il essaie de se connecter à la base de données et tente de supprimer leur contenu. Après avoir supprimé le contenu sur le serveur piraté, il installe un nouvel index connu sous le nom de nightlionsecurity.com.

La méthode d’attaque n’est pas toujours efficace

Wethington a révélé que bien que l’attaquant ait réussi dans certains cas, le script d’attaque ne fonctionne pas à chaque fois.

Néanmoins, le schéma de nettoyage est évident sur de nombreux serveurs Elasticsearch. En raison de la grande instabilité des données stockées dans les serveurs, il est difficile de dire exactement le nombre de systèmes que le hacker a pu pirater.

Le fondateur de la société de sécurité Night Lion, Vinny Troia, a déclaré que la société n’avait rien à voir avec l’activité de piratage sur les serveurs d’ElasticSearch. Il a souligné que le véritable auteur du délit essayait seulement d’entraîner la société, en disant qu’elle n’avait aucune idée de l’existence d’un piratage sur le serveur Elasticsearch.

Troia a été interviewé par DataBreaches.net la semaine dernière. Au cours de l’entretien, il a déclaré que le hacker pourrait avoir été perpétré par un hacker que la société surveille depuis quelques années. Selon lui, le hacker a probablement décidé de rejeter la faute sur lui parce qu’il veut que la société de sécurité le laisse tranquille. Troia a même déclaré qu’il est en train d’écrire un livre, dont la plupart des contenus détaillent les activités du hacker au cours des dernières années.

Au départ, l’attaque sur ElasticSearch le 26 mars ressemblait à une ruse, elle est maintenant considérée comme très sérieuse car le hacker peut faire quelques dégâts.

Les chercheurs en sécurité de BinaryEdge ont déclaré que le nombre d’attaques a augmenté de manière exponentielle. Avant la première interview, seuls environ 150 serveurs Elasticsearch ont été endommagés. Cependant, les chiffres ont augmenté rapidement car le serveur où se trouve l’index de nightlionsecurity.com est passé à plus de 15 000.

Si l’on considère le nombre de serveurs Elasticsearch exposés sur le serveur public, il est évident que le serveur endommagé est extrêmement volumineux. Selon BinaryEdge, il y avait environ 34 500 serveurs Elasticsearch exposés sur l’internet public. L’affaire est très grave si 15 000 de ces serveurs sont piratés.

Les services répressifs ont été immédiatement informés

Troia a déclaré avoir immédiatement contacté l’équipe de sécurité d’Elastic dès qu’il a découvert la violation. Il a déclaré que la société enquêtait actuellement sur le nombre de serveurs attaqués.

Actuellement, Wethington fait une liste de tous les serveurs touchés par l’attaque, et elle essaie de savoir quelles entreprises ont subi une panne.

Un deuxième hacker a été identifié

Lorsque Wethington s’est penché sur le problème, il a découvert qu’un autre hacker était impliqué, et il s’intéresse également aux serveurs Elasticsearch. Le second attaquant a violé les serveurs non sécurisés en envoyant un message aux victimes pour leur faire savoir que leur serveur a été attaqué. Le message demande aux victimes de les contacter par e-mail.

Cependant, cette deuxième attaque est encore à petite échelle, car le hacker n’a réussi à attaquer que 40 serveurs.

Des attaques similaires se sont produites dans le passé. Ce n’est pas la première fois qu’Elasrticsearch ou d’autres serveurs sont attaqués. En 2017, plusieurs groupes de hackers spécialisés dans les attaques par rançongiciel de bases de données ont utilisé plusieurs technologies de bases de données, dont Elasticsearch. En conséquence, plusieurs milliers de données Elasticsearch ont été supprimées pendant cette période, avec des messages et des rançons demandant aux propriétaires de payer pour récupérer leurs données. Mais les victimes ne savaient pas que les données avaient été supprimées et non volées.

Summary
15 000 SERVEURS ELASTICSEARCH ÉLIMINÉS ET ENDOMMAGÉS PAR UN HACKER
Article Name
15 000 SERVEURS ELASTICSEARCH ÉLIMINÉS ET ENDOMMAGÉS PAR UN HACKER
Description
Des rapports ont révélé qu'un hacker a exploité les serveurs Elasticsearch au cours des deux dernières semaines. Alors que le hacker essayait de s'introduire dans le système, il a également fait porter le chapeau à l'entreprise de sécurité Night Lion pour cette attaque.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading