Valutazione del rischio / SICUREZZA & Hacktivism hacker seme Amazon nuvola con i bot potenti denial-of-service
Bug in aperta analytics origine app potrebbe essere compromessa altri servizi, troppo.
Gli aggressori hanno trovato un nuovo modo per ottenere il servizio cloud di Amazon per condurre attacchi potenti denial-of-service su siti di terze parti-sfruttando le vulnerabilità di sicurezza in una ricerca open source e applicazioni di analisi noto come Elasticsearch.
Il potere di Backdoor.Linux.Ganiw.a era documentato all'inizio di questo mese da ricercatori fornitore di antivirus di Kaspersky Lab. Tra le altre cose, il trojan impiega di amplificazione DNS, una tecnica che aumenta notevolmente il volume di traffico spazzatura essere diretta a una vittima abusando server di sistema nome di dominio mal protette. Con l'invio di query DNS che sono malformati per apparire come se provenissero dal dominio vittima, Amplificazione DNS può aumentare il volume attacco da parte di 10 volte o più. La tecnica può essere particolarmente difficile da bloccare quando distribuiti tra migliaia o centinaia di migliaia di computer compromessi.
La scorsa settimana, Esperto di Kaspersky Lab Kurt Baumgartner ha riferito che il bot DDoS è attivamente compromettendo Amazon Elastic Cloud Computing (EC2) padroni di casa e molto probabilmente quelle dei concorrenti servizi cloud. Il punto d'appoggio che permette i nodi da dirottato è una vulnerabilità nelle versioni 1.1.x di Elastisearch, ha detto. Gli aggressori stanno modificando il codice di attacco proof-of-concept per la vulnerabilità, indicizzato come CVE-2014-3120 nei CVE banca dati, che dà loro la possibilità di eseguire in remoto potenti comandi di Linux attraverso una finestra della shell bash. La backdoor Gani, a sua volta, installa diversi altri script maligni sui computer compromessi, compresi Backdoor.Perl.RShell.c e Backdoor.Linux.Mayday.g. La backdoor Mayday poi inonda i siti con i pacchetti di dati basati sul protocollo User Datagram.
“Il flusso è anche abbastanza forte che Amazon sta notificando loro clienti, probabilmente a causa del potenziale inaspettato accumulo di eccessivi oneri di risorse per i propri clienti,” Baumgartner ha scritto. “La situazione è probabilmente simile in altri fornitori di cloud. L'elenco delle vittime DDoS comprendono una grande banca statunitense regionale e una macchinetta elettronica di grandi dimensioni e service provider in Giappone, indicando i colpevoli sono probabilmente il vostro standard finanziariamente guidato cybercrime ilk.”
Elastisearch consente alle applicazioni di svolgere funzioni di ricerca e di analisi su una varietà di servizi cloud, compresi quelli di Amazon. Baumgartner ha detto che le versioni 1.1.x sono attivi in alcune distribuzioni commerciali. La vulnerabilità non è presente nelle versioni 1.2 e 1.3, in parte perché scripting dinamico è disabilitato per default. La vulnerabilità venuto alla luce Maggio.
“Da un paio di incidenti sui clienti Amazon EC2 le cui istanze sono state compromesse da questi aggressori, siamo stati in grado di catturare primissime fasi degli attacchi,” Baumgartner ha scritto. “Gli aggressori ri-purpose nota CVE-2014-3120 exploit proof-of-concept code per consegnare un perl webshell che Kaspersky prodotti rilevano come Backdoor.Perl.RShell.c. Amministratori Linux possono eseguire la scansione di questi componenti dannosi con il nostro prodotto server.”
Non è il primo hacker tempo hanno sfruttato la potenza di Amazon e altri servizi di cloud computing per aumentare la potenza o la portata di un attacco su obiettivi di terze parti. Nel mese di gennaio, LinkedIn ha citato una banda di hacker accusato di avere abusato servizio di cloud computing di Amazon per aggirare le misure di sicurezza e copiare i dati da centinaia di migliaia di profili di membri ogni giorno. In 2011, il popolare servizio di Amazon è stato abusato per controllare il brutto SpyEye frode bancaria trojan. In 2009, ricercatori hanno portato alla luce un Account Twitter agendo come un canale di comando e controllo per i computer infetti.
fonte : http://arstechnica.com /
