Avaluació de riscos / SEGURETAT & Hacktivisme Hackers llavor núvol d'Amazon amb els robots potents de denegació de servei

Bug en obert source analytics aplicació pot haver compromès altres serveis, massa.

 

 

Els atacants han descobert una nova forma d'obtenir el servei del núvol d'Amazon per emprendre atacs potents de denegació de servei en llocs web de tercers-mitjançant l'explotació de vulnerabilitats de seguretat en una recerca de codi obert i l'aplicació d'anàlisi coneguda com Elasticsearch.

El poder de Backdoor.Linux.Ganiw.a era documentat a principis d'aquest mes per investigadors del proveïdor d'antivirus de Kaspersky Lab. Entre altres coses, el troià utilitza amplificació DNS, una tècnica que augmenta enormement el volum de trànsit no desitjat que es dirigeix ​​a una víctima a abusar servidors del sistema de noms de domini mal garantits. Mitjançant l'enviament de consultes DNS que es deformen per aparèixer com si vinguessin des del domini de la víctima, Amplificació de DNS pot augmentar el volum d'atac de 10 vegades o més. La tècnica pot ser especialment difícil de bloquejar quan es distribueixen entre els milers o centenars de milers d'ordinadors infectats.

La setmana passada, experts de Kaspersky Lab Kurt Baumgartner va informar que el DDoS bot està comprometent activament Amazon Elastic Cloud Computing (EC2) amfitrions i molt possiblement els de la competència dels serveis de núvol. El punt de suport que permet als nodes que es van segrestar una vulnerabilitat en les versions 1.1.x de Elastisearch, va dir. Els atacants estan modificant el codi d'atac de prova de concepte per a la vulnerabilitat, indexat com CVE-2014-3120 en les Vulnerabilitats i Exposicions Comuns de base de dades, que els dóna la capacitat d'executar de forma remota poderosa comandaments de Linux a través d'una finestra de shell bash. La porta del darrere Gani, Successivament, instal diversos altres scripts maliciosos en els ordinadors compromesos, incloent Backdoor.Perl.RShell.c i Backdoor.Linux.Mayday.g. La porta del darrere Mayday inunda els llocs amb els paquets de dades basades en el protocol de datagrames d'usuari.

“El flux també és prou fort que Amazon està notificant als seus clients, probablement a causa de la possibilitat d'una acumulació inesperada de les taxes de recursos excessius per als seus clients,” Baumgartner escriure. “La situació és probablement similar a altres proveïdors del núvol. La llista de les víctimes DDoS inclouen un gran banc regional EUA i un fabricant d'electrònica de gran i proveïdor de serveis al Japó, amb indicació dels autors són probablement la seva norma impulsada financerament mena ciberdelinqüència.”

Elastisearch permet aplicacions per dur a terme les funcions de recerca i anàlisi d'una varietat de serveis en el núvol, inclosos els d'Amazon. Baumgartner va dir versions 1.1.x estan actius en alguns desplegaments comercials. La vulnerabilitat no està present en les versions 1.2 i 1.3, en part perquè scripting dinàmic està desactivat per defecte. la vulnerabilitat va sortir a la llum maig.

“Des d'un parell d'incidents en els clients d'Amazon EC2 els casos van ser compromesos per aquests atacants, hem estat capaços de capturar etapes molt primerenques dels atacs,” Baumgartner escriure. “Els atacants re-propòsit conegut CVE-2014-3120 explotar prova-de-concepte de codi per oferir un perl WebShell que els productes de Kaspersky detecten com Backdoor.Perl.RShell.c. administradors de Linux poden escanejar per a aquests components maliciosos amb la nostra producte de servidor.”

No és la primera hackers temps han aprofitat el poder d'Amazon i altres serveis de computació en núvol per augmentar la potència o l'abast d'un atac a objectius de tercers. Al gener, LinkedIn va demandar a una banda de pirates informàtics que suposadament tenen abusat de serveis de computació en núvol d'Amazon per eludir les mesures de seguretat i copiar dades de centenars de milers de perfils dels membres de cada dia. En 2011, el popular servei d'Amazon era abusat per controlar el frau bancari SpyEye desagradable troià. En 2009, investigadors van desenterrar 1 Compte de Twitter que actua com un canal de comandament i control per als ordinadors infectats.

font : http://arstechnica.com /