逾4000台ElasticSearch伺服器淪為POS病毒的C&C伺服器

資安業者Kromtech Security Center周二（9/12）指出，他們在網路上發現了逾1.5萬台可公開存取的ElasticSearch伺服器，其中有超過4000台遭到駭客入侵，成為端點銷售系統（Point of Sales，POS）病毒的命令暨控制（Command and Control，C&C）伺服器。

POS病毒主要用來竊取使用者的信用卡資訊，而Kromtech卻發現，這些ElasticSearch伺服器上擁有AlinaPOS或JackPOS等POS病毒的控制介面。

根據Kromtech的分析，促使ElasticSearch伺服器被植入C&C惡意程式的主因為缺乏認證機制，採用公開配置可能讓駭客取得完整的管理權限，一旦惡意程式就位，駭客就能自遠端存取伺服器資源，甚至是執行程式以竊取或破壞伺服器上所存放的資料。

此外，這些成為POS病毒C&C主機的ElasticSearch伺服器有接近99%都座落在AWS服務中，這是因為AWS EC2提供了免費的T2 micro實例，最高可有10Gb硬碟空間，且只支援ElasticSearch 1.5.2及2.3.2兩種版本，在感染惡意程式的ElasticSearch伺服器中，有52%採用ElasticSearch 1.5.2，並有47%採用ElasticSearch 2.3.2。（來源：Kromtech）

還有些ElasticSearch伺服器因被重覆攻擊而被植入多種C&C惡意程式，得以遙控不同的POS病毒。

Kromtech說，AWS讓使用者只需幾個步驟就能配置ElasticSearch叢集，但在快速安裝的程序中，使用者通常會跳過所有的安全配置，雖然這只是個簡單的錯誤，卻會帶來嚴重的影響，或是造成機密資料外洩。