Những kẻ tấn công nhắm mục tiêu vào Amazon EC2 thông qua lỗi phần mềm phân phối công cụ tìm kiếm Elasticsearch 1.1.x
Với cuộc tấn công này, tin tặc khai thác lỗ hổng trong phần mềm phân phối công cụ tìm kiếm Elasticsearch để cài đặt phần mềm DDoS trên Amazon và một số máy chủ Cloud khác.
Elasticsearch là một máy chủ được thiết kế cho công cụ tìm kiếm ngày càng phổ biến và được phát triển từ Java cho phép các ứng dụng thực hiện truy xuất dưới nhiều hình thức nội dung thông qua API REST (Representation State Transfer). Elasticsearch được xây dựng dưới dạng mã nguồn mở cho việc tìm kiếm dữ liệu trên máy chủ. Đó là một giải pháp mở rộng, hỗ trợ tìm kiếm thời gian thực mà không cần có một cấu hình đặc biệt. Elasticsearch thường được sử dụng trong các môi trường điện toán đám mây, ứng dụng này được triển khai trên Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine và các nền tảng điện toán đám mây khác.
Dịch vụ đám mây của Amazon bị tấn công vì lỗi chủ quan. |
Tuần trước các nhà nghiên cứu bảo mật từ Kaspersky Lab phát hiện biến thể mới của mã độc Mayday, một chương trình Trojan chạy trên nền Linux được sử dụng để tấn công từ chối dịch vụ (DDos). Một trong những biến thể Mayday mới đã được tìm thấy trên máy chủ Amazon EC2, nhưng đây không phải là nền tảng duy nhất tấn công.
Những kẻ tấn công đột nhập vào EC2 - máy chủ ảo của khách hàng Amazon EC2 bằng cách khai thác lỗi CVE-2014-3120 dễ bị tổn thương trong Elasticsearch 1.1.x. Các đợt tấn công từ xa khiến một ngân hàng lớn của Mỹ, một hãng sản xuất điện tử và cung cấp dịch vụ lớn của Nhật bị ảnh hưởng khá nặng nề. Amazon đã gửi cảnh báo đến khách hàng trước các tình huống đang diễn ra. Nếu người dùng đang sử dụng Elasticsearch 1.1.x thì nên nâng cấp lên phiên bản mới nhất và làm theo khuyến nghị từ các chuyên viên an ninh mạng.
Amazon, DDoS, Elasticsearch, lỗi bảo mật, tấn công mạng