被感染的ElasticSearch伺服器大多集中在美國,隸屬於Amazon.com居多。

圖片來源: 

Kromtech

資安業者Kromtech Security Center周二(9/12)指出,他們在網路上發現了逾1.5萬台可公開存取的ElasticSearch伺服器,其中有超過4000台遭到駭客入侵,成為端點銷售系統(Point of Sales,POS)病毒的命令暨控制(Command and Control,C&C)伺服器。

POS病毒主要用來竊取使用者的信用卡資訊,而Kromtech卻發現,這些ElasticSearch伺服器上擁有AlinaPOS或JackPOS等POS病毒的控制介面。

根據Kromtech的分析,促使ElasticSearch伺服器被植入C&C惡意程式的主因為缺乏認證機制,採用公開配置可能讓駭客取得完整的管理權限,一旦惡意程式就位,駭客就能自遠端存取伺服器資源,甚至是執行程式以竊取或破壞伺服器上所存放的資料。

此外,這些成為POS病毒C&C主機的ElasticSearch伺服器有接近99%都座落在AWS服務中,這是因為AWS EC2提供了免費的T2 micro實例,最高可有10Gb硬碟空間,且只支援ElasticSearch 1.5.2及2.3.2兩種版本,在感染惡意程式的ElasticSearch伺服器中,有52%採用ElasticSearch 1.5.2,並有47%採用ElasticSearch 2.3.2。(來源:Kromtech)

還有些ElasticSearch伺服器因被重覆攻擊而被植入多種C&C惡意程式,得以遙控不同的POS病毒。

Kromtech說,AWS讓使用者只需幾個步驟就能配置ElasticSearch叢集,但在快速安裝的程序中,使用者通常會跳過所有的安全配置,雖然這只是個簡單的錯誤,卻會帶來嚴重的影響,或是造成機密資料外洩。


Advertisement

更多 iThome相關內容