Attacchi ai server ElasticSearch. Database “rapiti” dai pirati

Gen 13, 2017 Marco Schiaffino Attacchi, Emergenze, News, RSS, Vulnerabilità 0

I cyber criminali usano la stessa tecnica adottata nei giorni scorsi contro i server Mongo DB: i database vengono copiati, cancellati e sostituiti con la richiesta di riscatto.

Un errore di configurazione è più che sufficiente per aprire la porta ai pirati. Lo hanno imparato a loro spese nelle scorse settimane gli amministratori di server Mongo DB, vittime di un’ondata di attacchi. Lo stanno imparando quelli di ElasticSearch, che ora sembra essere finito nel mirino di gruppi che agiscono con lo stesso modus operandi.

ElasticSearch è un motore di ricerca open source utilizzato ampiamente da grandi aziende e società che offrono servizi Web (lo usa anche Netflix) e proposto come servizio anche da provider di servizi come Amazon.

Il problema, però, è che molti amministratori hanno la pessima abitudine di impostare il servizio in modo che sia esposto a Internet. Risultato: i server possono essere attaccati dai pirati che, secondo le ultime notizie, ne avrebbero violati già più di 600.

La strategia dei cyber-criminali è la stessa che abbiamo già visto nelle scorse settimane: una volta ottenuto l’accesso al server, eseguono una copia dei dati contenuti e poi li cancellano, lasciando una richiesta di riscatto in bitcoin.

Considerato che da una ricerca su Shodan risultano esserci ben 35.000 server ElasticSearch raggiungibili via Internet, è probabile che anche in questo caso si assisterà a un’escalation simile a quella verificatasi nei giorni scorsi nei confronti di Mongo DB.

Il motore di ricerca open source è usato da colossi del Web come Universal, SoundCloud e Wikipedia

Di solito la cifra non è molto elevata (circa 500 dollari) ma è bene considerare che i legittimi proprietari, anche se dovessero pagare la somma richiesta, non hanno la certezza di recuperare i loro dati.

Oltre all’incertezza è legata alla “affidabilità” dei pirati informatici, c’è infatti il problema che il fenomeno è in costante crescita e che i pirati sfruttano sistemi automatizzati, che “macinano” centinaia di attacchi all’ora.

Nei giorni scorsi, quando sono stati presi di mira i server Mongo DB sono stati segnalati casi in cui lo stesso server è stato attaccato più volte in sequenza, con il risultato che gli amministratori hanno pagato un riscatto a un gruppo di hacker che… non avevano i dati originali.

Quando un nuovo gruppo colpisce un server già compromesso, infatti, in memoria trova soltanto la richiesta di riscatto del primo hacker e lo sostituisce con il suo. Gli amministratori, quindi, anche una volta pagato il riscatto rischiano di vedersi restituire solo un’altra richiesta di riscatto.

A peggiorare la situazione c’è il fatto che su Internet è comparso (in vendita) lo script usato per attaccare i server Mongo DB. A rendere disponibile lo strumento di hacking (prezzo 200 dollari) è il gruppo Kraken, che secondo i ricercatori avrebbe colpito 16.000 server in due giorni.

Non è escluso che lo script possa essere stato adattato per colpire ElasticSearch, mettendo così nelle mani dei pirati una sorta di “arma di distruzione di massa” che potrebbe provocare enormi danni.

Agli amministratori di sistema che utilizzano il motore di ricerca non resta che prendere tutte le precauzioni possibili per mettere in sicurezza i loro server. Alcuni suggerimenti sono stati messi nero su bianco da Itamar Syn-Hershko in un post sul suo blog.

Condividi l'articolo