Posté le juillet 25, 2019 à 18:42
UNE NOUVELLE ATTAQUE DE LOGICIEL MALVEILLANT CONVERTIT LES BASES DE DONNÉES ELASTICSEARCH EN BOTNET
La nouvelle attaque de logiciel malveillant comprend deux phases, dont l’une dans laquelle le logiciel malveillant de cryptage est supprimé. Ce n’est pas la première fois que les bases de données Elasticsearch montrent à quel point elles peuvent être vulnérables.
La découverte
Les chercheurs en sécurité informatique de Trend Micro ont découvert une toute nouvelle campagne de logiciel malveillant ciblant les bases de données Elasticsearch. Ces bases de données stockent, récupèrent et gèrent des informations documentaires et semi-structurées. Il s’appuie fortement sur des modèles de données flexibles pour créer et mettre à jour des profils de visiteurs afin de répondre aux charges de travail à faible temps de latence et exigeantes requises pour un engagement en temps réel. À l’heure actuelle, plus de 2 000 entreprises utilisent ElasticSearch dans leur arsenal technologique, y compris la fameuse société Uber.
Le projet exploite des bases de données Elasticsearch disponibles au public ou non protégées et les infecte par des logiciels malveillants. Ceci, à leur tour, les convertit en botnet, réalisant des attaques DDoS.
Une occurrence de l’attaque a exploité CVE-2015-1427, une vulnérabilité antérieure qui affectait le moteur de script Elasticsearch Groovy. Une autre est venue avec la possibilité d’exploiter CVE-2017-5638, une vulnérabilité RCE (exécution de code à distance) dans Apache Struts 2.
Les chercheurs ont découvert que le logiciel malveillant utilisé est Setag backdoor ware, qui a été initialement découvert en 2017. Setag est doté de fonctionnalités telles que le lancement de protocoles de données système volés et diverses attaques DDoS.
Une enquête plus poussée sur les binaires a révélé la présence d’une variante de porte dérobée dont les capacités étaient similaires à celles des logiciels malveillants BillGates. Le logiciel malveillant BillGates est apparu en 2014, présentant les mêmes caractéristiques que Setag, y compris le fait de pouvoir compromettre la machine ciblée et le lancement subséquent d’attaques DDoS.
Le déroulement de l’attaque
L’attaque du logiciel malveillant se déroule en deux phases. Au cours de la première phase, le logiciel malveillant exécute un script (s67.sh) qui ferme le pare-feu et indique le shell à utiliser. Au cours de la deuxième phase, le logiciel malveillant a exécuté le script s66.sh qui supprime des fichiers spécifiques, y compris une série de fichiers de configuration du répertoire /tmp et tous les logiciel de cryptage existants installés par d’autres programmes dangereux.
Cela a supprimé les traces de l’infection initiale et téléchargé le fichier binaire souhaité des cybercriminels. Tout cela dans le but de lancer sa propre opération d’infiltration. Les chercheurs ont fait remarquer qu’ils utilisent des domaines non réutilisables pour échanger des URL au fur et à mesure qu’ils sont détectés.
Il convient de mentionner que ces criminels utilisent des sites Web compromis pour lâcher leur charge utile. Les chercheurs craignent que le fait de continuer à abuser de sites Web compromis leur permette également d’éviter la détection par des sites Web, en particulier ceux développés par les envahisseurs. De telles capacités constituent un énorme menace.
Ces cybercriminels ont utilisé le codage d’URL mis en scène lors de la récupération des scripts et compromis les sites Web authentiques. Cela pourrait signifier qu’ils ne font que tester leurs outils de piratage. Il est également possible qu’ils préparent leur infrastructure avant de passer à la cyberguerre.
L’histoire déplorable d’ElasticSearch
N’oubliez pas que les serveurs ElasticSearch ont un déplorable historique avec les logiciels malveillants. Bob Diachenko, un autre chercheur en sécurité, a découvert en septembre 2017 plus de 4 000 serveurs ElasticSearch hébergeant des programmes malveillants PoS. Au total, Diachenko a également identifié plus de 15 000 serveurs ElasticSearch dépourvus de protection par mot de passe ou d’authentification.
Puis, en novembre 2018, HackenProof a trouvé une IP avec un cluster Elasticsearch accessible au public qui a laissé les données personnelles d’environ 57 millions de citoyens américains sans protection. Deux mois plus tard, Security Discovery a découvert un serveur Elasticsearch non protégé contenant 24 millions d’enregistrements de données personnelles.
Plus récemment, en avril 2019, il a été rapporté que des milliers d’instances Kibana exposées ont rendu les bases de données et les serveurs Elasticsearch accessibles au public.
Comment se défendre contre les attaques
Toute entreprise qui utilise Elasticsearch doit être consciente de cette nouvelle attaque. Elasticsearch a déjà publié un correctif pour corriger cette vulnérabilité; installer donc ce correctif et évitez d’en être victime.
Les spécialistes de la sécurité peuvent aider à se défendre contre les attaques qui cherchent à livrer un botnet DDoS. Pour ce faire, ils adoptent un progiciel complet de gestion des vulnérabilités qui donne la priorité aux correctifs logiciels en fonction du niveau de risque détecté par les failles de sécurité connues. Les entreprises devraient également s’efforcer de se protéger contre les attaques DDoS en utilisant la détection des anomalies, des pare-feu de nouvelle génération et d’autres outils applicables.