ÉVALUATION DES RISQUES / SÉCURITÉ & Hacktivisme pirates semences Amazon cloud avec des bots puissants déni de service

Bug en open source analytics application pourrait avoir compromis d'autres services, trop.

 

 

Les attaquants ont trouvé un nouveau moyen d'obtenir le service de cloud computing d'Amazon pour mener des attaques contre des tiers puissants déni de service des sites-en exploitant les failles de sécurité dans une recherche open source et d'analyse application connue comme Elasticsearch.

La puissance de Backdoor.Linux.Ganiw.a était documenté plus tôt ce mois-ci par des chercheurs de fournisseur d'antivirus Kaspersky Lab. Entre autres choses, le cheval de Troie utilise amplification DNS, une technique qui augmente considérablement le volume du trafic indésirable étant dirigée à une victime en abusant de serveurs de système de nom de domaine mal sécurisés. En envoyant des requêtes DNS qui sont malformés à apparaître comme si elles provenaient du domaine de victime, amplification DNS peut augmenter le volume d'attaque de 10 fois ou plus. La technique peut être particulièrement difficile à bloquer lorsqu'ils sont distribués parmi des milliers ou des centaines de milliers d'ordinateurs compromis.

En fin de semaine dernière, Expert de Kaspersky Lab Kurt Baumgartner a indiqué que le DDoS bot est activement compromet Amazon Elastic Cloud Computing (EC2) hôtes et très éventuellement ceux des services de cloud computing concurrents. Le pied qui permet aux nœuds d'être détournés s'agit d'une vulnérabilité dans les versions 1.1.x de Elastisearch, dit-il. Les attaquants sont en train de modifier le code d'attaque de preuve de concept de la vulnérabilité, répertorié CVE-2014-3120 dans les Common Vulnerabilities and Exposures base de données, qui leur donne la possibilité d'exécuter à distance des commandes Linux puissant à travers une fenêtre de shell bash. La porte dérobée Gani, à son tour, installe plusieurs autres scripts malveillants sur des ordinateurs infectés, y compris Backdoor.Perl.RShell.c et Backdoor.Linux.Mayday.g. La porte dérobée Mayday inonde alors les sites avec des paquets de données basés sur le protocole de datagramme utilisateur.

“Le débit est également assez forte pour que Amazon est maintenant informer leurs clients, probablement en raison de risque d'accumulation inattendue des frais de ressources excessives pour leurs clients,” Baumgartner a écrit. “La situation est probablement similaire à d'autres fournisseurs de cloud. La liste des victimes comprend DDoS une grande banque régionale américaine et d'un plateau de grands de l'électronique et fournisseur de services au Japon, indiquant les auteurs sont susceptibles votre niveau financièrement entraîné la cybercriminalité acabit.”

Elastisearch permet aux applications d'effectuer des fonctions de recherche et d'analyse sur une variété de services de cloud computing, y compris ceux de l'Amazone. Baumgartner dit versions 1.1.x sont actifs dans certains déploiements commerciaux. La vulnérabilité n'est pas présent dans les versions 1.2 et 1.3, en partie parce que les scripts dynamique est désactivée par défaut. La vulnérabilité est venu à la lumière mai.

“De quelques incidents sur Amazon EC2 clients dont les instances ont été compromis par ces assaillants, nous étions en mesure de capturer des stades très précoces des attaques,” Baumgartner a écrit. “Les assaillants ré-utiliser connu CVE-2014-3120 exploiter la preuve de concept de code pour fournir un perl WebShell que les produits de Kaspersky détecte que Backdoor.Perl.RShell.c. administrateurs de Linux peuvent numériser pour ces composants malveillants avec notre produit de serveur.”

Ce n'est pas les premiers pirates de temps ont permis de mobiliser la puissance de l'Amazonie et d'autres services de cloud computing pour augmenter la puissance ou la portée d'une attaque sur des cibles tiers. En Janvier, LinkedIn a poursuivi une bande de pirates présumés avoir abusé de service de cloud computing d'Amazon pour contourner les mesures de sécurité et copier les données de centaines de milliers de profils de membres chaque jour. Dans 2011, le service Amazon populaire était abusé de contrôler la SpyEye méchant fraude bancaire trojan. Dans 2009, les chercheurs ont mis au jour une Compte Twitter agissant comme un canal de commande et de contrôle pour les ordinateurs infectés.

source : http://arstechnica.com /