Elasticsearch-Lücke verwandelt Amazon-Cloud-Server in DDoS-Zombies

Durch eine Sicherheitslücke in einer älteren Elasticsearch-Version können Angreifer beliebigen Schadcode ausführen. Das wird momentan dazu genutzt, Server in Amazons EC2-Cloud zu kapern und für DDoS-Angriffe zu missbrauchen.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Kriminelle übernehmen momentan Server in Amazons Cloud-Umgebung EC2 durch eine verheerende Lücke im quelloffenen Such-Server Elasticsearch. Dabei machen sie sich die Tatsache zu Nutze, dass sich Elasticsearch-Cluster bis Version 1.2 der Software beliebigen Schadcode unterschieben lassen.

Besucht ein Nutzer, dessen System Zugang zu einer Elasticsearch-Installation hat, eine Webseite mit Schadcode, kann diese Webseite beliebige Kommandos auf dem Such-Server ausführen. Da Elasticsearch über keine Form der Nutzerbeschränkung verfügt, hat der Betreiber der Schadcode-Seite vollen Zugriff auf den Cluster und kann Java-Code ausführen (CVE-2014-3120).

Wie Kaspersky entdeckt hat, wird diese Lücke wohl dazu missbraucht, in Zusammenhang mit zwei Rechteausweitungs-Lücken des Linux-Kerns (CVE-2014-0196 und CVE-2012-0056), eine ganze Reihe von Hintertüren auf den EC2-Servern zu öffnen. Diese Hintertüren werden dann in der Regel dazu genutzt, Ziel-Server mit Traffic zu überfluten. Zu den Opfern der DDoS-Angriffe soll, so Kaspersky, eine "große regionale US-Bank" gehören. Amazon soll angefangen haben, Kunden mit betroffenen Servern zu informieren, da die Traffic-Flut die Mietkosten für die EC2-Server unerwartet in die Höhe treibt.

Die Lücke ist den Elasticsearch-Entwicklern seit Mai bekannt und ab Elasticsearch 1.2 führt der Such-Server per Default keine Scripte mehr über die entsprechende Schnittstelle aus. Angesichts des Risikos für die Such-Cluster sollten Nutzer von älteren Versionen der Software diese so schnell wie möglich aktualisieren und sich zweimal überlegen, ob sie die Scripting-Funktion wirklich benötigen. (fab)