zurück zum Artikel

Elasticsearch-Lücke verwandelt Amazon-Cloud-Server in DDoS-Zombies

Fabian A. Scherschel

Durch eine Sicherheitslücke in einer älteren Elasticsearch-Version können Angreifer beliebigen Schadcode ausführen. Das wird momentan dazu genutzt, Server in Amazons EC2-Cloud zu kapern und für DDoS-Angriffe zu missbrauchen.

Kriminelle übernehmen momentan Server in Amazons Cloud-Umgebung EC2 durch eine verheerende Lücke im quelloffenen Such-Server Elasticsearch. Dabei machen sie sich die Tatsache zu Nutze, dass sich Elasticsearch-Cluster bis Version 1.2 der Software beliebigen Schadcode unterschieben lassen.

Besucht ein Nutzer, dessen System Zugang zu einer Elasticsearch-Installation hat, eine Webseite mit Schadcode, kann diese Webseite beliebige Kommandos auf dem Such-Server ausführen. Da Elasticsearch über keine Form der Nutzerbeschränkung verfügt, hat der Betreiber der Schadcode-Seite vollen Zugriff auf den Cluster und kann Java-Code ausführen [1] (CVE-2014-3120).

Wie Kaspersky entdeckt hat [2], wird diese Lücke wohl dazu missbraucht, in Zusammenhang mit zwei Rechteausweitungs-Lücken des Linux-Kerns (CVE-2014-0196 und CVE-2012-0056), eine ganze Reihe von Hintertüren auf den EC2-Servern zu öffnen. Diese Hintertüren werden dann in der Regel dazu genutzt, Ziel-Server mit Traffic zu überfluten. Zu den Opfern der DDoS-Angriffe soll, so Kaspersky, eine "große regionale US-Bank" gehören. Amazon soll angefangen haben, Kunden mit betroffenen Servern zu informieren, da die Traffic-Flut die Mietkosten für die EC2-Server unerwartet in die Höhe treibt.

Die Lücke ist den Elasticsearch-Entwicklern seit Mai [3] bekannt und ab Elasticsearch 1.2 führt der Such-Server per Default keine Scripte mehr über die entsprechende Schnittstelle aus. Angesichts des Risikos für die Such-Cluster sollten Nutzer von älteren Versionen der Software diese so schnell wie möglich aktualisieren und sich zweimal überlegen, ob sie die Scripting-Funktion wirklich benötigen. (fab [4])

URL dieses Artikels:
https://www.heise.de/-2277689

Links in diesem Artikel:
[1] http://www.rapid7.com/db/modules/exploit/multi/elasticsearch/script_mvel_rce
[2] https://securelist.com/blog/virus-watch/65192/elasticsearch-vuln-abuse-on-amazon-cloud-and-more-for-ddos-and-profit/
[3] http://bouk.co/blog/elasticsearch-rce/
[4] mailto:contact@fab.industries

Copyright © 2014 Heise Medien