DDOS-боты в облаке Amazon


AmazonСпециалисты по информационной безопасности отметили, что атакующие начали широко использовать уязвимости в распределенном поисковом движке Elasticsearch для установки DDOS-вредоносов на облачных серверах Amazon и некоторых других облачных провайдеров.

Elasticsearch — это открытый поисковый движок, реализованный на Java, который позволяет приложениям производить полнотекстовый поиск различных типов документов посредством REST API (representational state transfer application programming interface).

Распределенная архитектура этого движка позволяет работать на множестве узлов сразу. Elasticsearch часто применяется в вычислительных облаках. Например, он уже был развернут на:

  • Amazon Elastic Compute Cloud;
  • Microsoft Azure;
  • Google Compute Engine;
  • других облачных платформах.


Версии Elasticsearch 1.1.x поддерживают активный скриптинг посредством API-вызовов по умолчанию. Так как данная функция не требует аутентификации, а сами скрипты не выполняются в "песочнице", то она представляет определенную опасность.

Ранее уже сообщалось о проблемах в Elasticsearch, связанных со скриптингом. Так уязвимость CVE-2014-3120 уже описывает возможность удаленного исполнения кода в системе. Разработчиками продукта не был выпущен патч для ветки 1.1.X, а уже начиная с 1.2.0 динамический скриптинг по умолчанию отключен.

Специалистами по безопасности недавно была обнаружена троянская Linux-программа Mayday, запускающая DDOS-атаки, в том числе и атаки типа DNS amplification, посредством уязвимости. Один из вариантов Mayday был недавно выявлен на серверах Amazon EC2.

В ходе изучения исследователи установили, что в случае с Amazon взлом был проведен через Elasticsearch, который до сих пор еще используется некоторыми организациями, и это несмотря на доступность версий 1.2.x и 1.3.x. Кроме этого на скомпрометированных машинах специалисты обнаружили веб-оболочки для управления сервером.

Выявленная на серверах Amazon версия Mayday во время работы не использовала DNS amplification, а лишь ограничивалась во время атак UPD-флудингом. Среди целей вредоноса был выделен американский региональный банк и японская компания сервис-провайдера.


Обновлено (30.07.2014 14:02)