Abuso de la vulnerabilidad elasticsearch en Amazon Cloud

Hace un par de semanas, mi colega Mikhail K publicó “Versatile Linux DDoS Trojan, un análisis de varios bots, incluyendo uno que implementa una extraordinaria funcionalidad de amplificación DNS en DDoS. Los operadores de estos bots siguen activos, y hemos detectado nuevas variantes del troyano que construye botnets grandes.

Exploremos algunos detalles ofensivos en las actividades de este grupo durante la semana pasada. En general, los troyanos DDoS atacan víctimas con perfiles atractivos para actividades ciberdelictivas. No hemos sabido nada de los blancos de los ataques, sólo de los sitios comprometidos. Las víctimas habían estado ejecutando Amazon EC2, pero por supuesto, esta plataforma no es la única atacada y abusada. Resulta interesante que los operadores de esta botnet al parecer no tuvieron problemas con sitios CN, como lo demuestra el uso del sitio que aloja sus herramientas desde fines de 2013. Siete de estas ocho herramientas se cargaron durante las dos últimas semanas, lo que coincide con sus renovadas actividades ofensivas. Su arsenal incluye un par de recientes códigos fuente de explotación de privilegios en Linux, posiblemente compilados en los hosts comprometidos sólo si se necesitan privilegios más elevados, junto a herramientas ofensivas sql compiladas, múltiples webshells y dos nuevas variantes de “bots versátiles”, de las cuales la de código “xudp” es la más reciente:

Pero primero, ¿cómo acceden a EC2 y ejecutan sus bots DDoS Linux desde la nube? Están explotando una vulnerabilidad conocida y reciente, elasticsearch, en todas las versiones 1.1.x (cve-2014-3120), que parece estar activa en aplicaciones comerciales activas en algunas organizaciones. Si sigues utilizando 1.1.x, debes actualizar a las últimas versiones 1.2 o 1.3, publicadas hace unos días. La escritura dinámica está desactivada por defecto, y se añaden otras funciones para facilitar la migración. Logramos detectar las primeras etapas de los ataques a partir de un par de incidentes con clientes afectados de Amazon EC2. Los atacantes modificaron el conocido código exploit prueba de concepto cve-2014-3120 para propagar un perl webshell que los productos de Kaspersky han detectado como Backdoor.Perl.RShell.c. Los administradores de Linux pueden buscar estos componentes maliciosos con nuestro producto para servidores.

Esto les ha permitido a los atacantes acceder al servidor mediante un bash shell. Wget recoge el script “pack.pl” en el web host de arriba y lo lleva a /tmp/zerl desde donde lo ejecuta, brindando así el acceso bash shell a los atacantes. Los eventos en tus registros index pueden revelar que tu servidor ha sido atacado:

En el mismo servidor remoto están alojados los bots DDoS, que se recogen mediante el perl webshell manteniendo nuevas cadenas cifradas c2, detectadas como Backdoor.Linux.Mayday.g. Una de las variantes incluye la funcionalidad de amplificación DNS que Mikhail describe en su publicación anterior. Pero la que se usa en EC2 comprometidos sobresaturó sitios sólo con tráfico UDP. El flujo es tan intenso que las víctimas del DDoS se vieron obligadas a transferir sus operaciones regulares de hosting de direcciones IP a una solución anti-DDoS.

El intenso flujo ha obligado a Amazon a notificar a sus clientes, quizás por la potencial e inesperada acumulación de sobrecargas excesivas de los recursos de sus clientes. La situación puede ser similar en otros proveedores de nube. La lista de víctimas de DDoS incluye un reconocido banco en EE.UU., y un importante fabricante de productos electrónicos y proveedor de servicios en Japón, lo que indica que los ciberdelincuentes tienen motivaciones financieras.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *