Cibercriminosos instalam bot DDoS em servidores de nuvem da Amazon

Cibercriminosos estão explorando uma vulnerabilidade existente no software de mecanismo de busca Elasticsearch, opens-source, para instalar um malware DDoS na nuvem da Amazon e possivelmente em outros servidores de cloud.

O Elasticsearch é um servidor de mecanismo de busca com popularidade crescente, desenvolvido em Java, que permite fazer buscas em texto por vários tipos de documentos utilizando uma API REST (representational state transfer application programming interface). Como utiliza de uma arquitetura distribuída que permite múltiplos nós, o Elasticsearch é muito usado em ambientes de cloud. Ele pode ser habilitado em várias plataformas de cloud, entre elas a Amazon Elastic Compute Cloud (EC2), a Microsoft Azure, e a Google Compute Engine .

Versão 1.1.x do Elasticsearch tem suporte para script ativo por meio de chamadas da API em sua configuração padrão. Esse recurso representa um risco de segurança porque não exige autenticação nem está contido emsandbox. Pesquisadores de segurança comunicaram no início do ano que invasores poderiam explorar o recurso de script do Elasticsearch que permitiria executar código arbitrário no servidor.

Na semana passada, pesquisadores da Kaspersky Lab encontraram novas variações do cavalo de Tróia Mayday, para Linux, que é usado para lançar ataques de distributed denial-of-service (DDoS, ou ataque de negação de serviço), rodando em instâncias comprometidas de servidores Amazon EC2. Segundo o pesquisador do Kaspersky Lab, Kurt Baumgartner, os servidores da Amazon não foram os únicos atacados.

Os atacantes invadiram as instâncias EC2 – máquinas virtuais utilizadas por clientes da Amazon EC2 – explorando a vulnerabilidade CVE-2014-3120 do Elasticsearch 1.1.x, que ainda está sendo usado em várias organizações, apesar de já ter sido superado pelo Elasticsearch 1.2.x e 1.3.x, segundo o pesquisador.

A variante do Mayday encontrada nas instâncias EC2 comprometidas não usou amplificação do DNS e apenas inundou os sites com tráfego UDP. Mesmo assim, o ataque forçou os alvos, que incluem um grande banco regional nos EUA e um grande fabricante de eletrônicos do Japão, a mudar seu endereço IP (Internet Protocol) para um provedor que mitigasse o ataque DDoS, escreveu Baumgartner em um post no seu blog.

“O fluxo do ataque é forte o suficiente para a Amazon notificar seus clientes, provavelmente por conta de um potencial estouro na cobrança de uso excessivo de banda”, disse o pesquisador. “A situação é possivelmente similar em outros provedores de cloud”, diz Baumgartner.

Os desenvolvedores do Elasticsearch não liberaram uma correção para a
versão 1.1.x, mas a versão 1.2.0, lançada em 22 de maio, desabilitou o
script dinâmico como padrão. Usuários do Elasticsearch 1.1.x devem, fazer o upgrade para uma nova
versão do software e aqueles que precisarem da funcionalidade de script
artivada precisam seguir as recomendações de segurança publicadas no
blog do desenvolvedor em 9 de julho.