Helpex - Trao đổi & giúp đỡ Đăng nhập

ElasticSearch Ransomware tấn công làm nổi bật nhu cầu bảo mật tốt hơn

Bài viết này ban đầu được xuất bản trên DevOps.com

Gần đây, các báo cáo xuất hiện rằng một số lượng lớn các máy chủ Elasticsearch đã trở thành nạn nhân của các cuộc tấn công ransomware tiềm ẩn. Ransomware là loại phần mềm độc hại mà công ty không muốn có trên hệ thống hoặc mạng của mình. Nó bắt các hệ thống làm con tin, phổ biến nhất là bằng cách mã hóa hoặc đánh cắp dữ liệu và khiến chủ sở hữu thực hiện các nỗ lực tống tiền. Theo báo cáo của Herjavec Group, chi phí thiệt hại do ransomware dự kiến ​​lên tới 1 tỷ USD vào cuối năm 2016.

Một làn sóng tấn công đòi tiền chuộc mới được quan sát thấy trong vài tuần qua nhắm vào cơ sở dữ liệu MongoDB không an toàn. Các nhà nghiên cứu bảo mật Victor Gevers và Niall Merrigan gọi những cuộc tấn công này là “cuộc lục soát” và Merrigan ước tính rằng hơn 40.000 cơ sở dữ liệu đã bị ảnh hưởng chỉ trong hai tuần đầu tiên.

Hiện tại, nghiên cứu cho thấy các máy chủ Elasticsearch, được định cấu hình không an toàn để chúng có thể được truy cập qua internet công cộng, đang bị tấn công đòi tiền chuộc tương tự. Victor Gevers đã tweet rằng trong vòng ba ngày đầu tiên, 2.515 máy chủ Elasticsearch đã bị xóa và đòi tiền chuộc và 34.298 phiên bản Elasticsearch dễ bị tấn công vẫn đang mở. Trong những ngày tiếp theo, số lượng máy chủ bị ảnh hưởng đã lên đến hơn 5.000. John Matherly, người sáng lập Shodan, đã tweet rằng phần lớn các máy chủ Elasticsearch dễ bị tấn công đều mở trên Amazon Web Services (AWS).

Nếu máy chủ Elasticsearch bị tấn công, người dùng sẽ thấy các chỉ số dữ liệu đã biến mất và một thông báo có nội dung:

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r
IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR
SERVER IP AFTER SENDING THE BITCOINS
...

FBI nhấn mạnh rằng các nạn nhân nên từ chối trả tiền chuộc bằng Bitcoin, vì vậy người dùng có thể lấy lại dữ liệu của họ hoặc không tùy thuộc vào các quy trình bảo mật mà họ đã áp dụng trong trường hợp bị tấn công. Tại thời điểm này, vẫn chưa rõ ai đứng sau các vụ tấn công.

Trớ trêu thay, điều khiến các cuộc tấn công này có thể xảy ra không phải là bản thân Elasticsearch không an toàn, bởi vì nó không phải vậy. Có thể xảy ra các cuộc tấn công đòi tiền chuộc vì những trường hợp này đã được cấu hình theo cách khiến chúng dễ bị tấn công. Nó giống như để cửa trước mở.

Nhà báo công nghệ Steven Vaughan-Nichols của ZDNet đã đưa ra một bản tóm tắt xuất sắc , giải thích rằng, khi được sử dụng bởi những người nghiệp dư mà không có bất kỳ kỹ năng bảo mật nào, Elasticsearch rất dễ bẻ khóa. Những người triển khai các phiên bản trên đám mây AWS có ấn tượng rằng AWS đang bảo vệ chúng, nhưng không phải vậy. Mặc dù AWS cho người dùng biết cách bảo vệ các phiên bản AWS Elasticsearch của họ, nhưng người dùng vẫn cần phải tự mình thực hiện công việc.

Anh ấy lưu ý: “Điều tồi tệ nhất về điều này? Cũng giống như các cuộc tấn công MongoDB, điều này sẽ không xảy ra nếu các lập trình viên của nó đã bảo vệ các phiên bản của nó bằng các biện pháp bảo mật cơ bản, nổi tiếng. ”

Elasticsearch thường được sử dụng trong quản lý nhật ký, thường là một phần của Elastic Stack hoặc ELK, viết tắt của các thành phần mã nguồn mở chính của Elasticsearch, Lucene và Kibana. Vì là phần mềm mã nguồn mở, miễn phí, ELK là lựa chọn đầu tiên dễ dàng cho nhiều người. Đó là một phần mềm tuyệt vời, mạnh mẽ. Các dự án mã nguồn mở này rất năng động, với hàng nghìn mã đóng góp mỗi tháng và cơ sở mã kết hợp ngày càng tăng gồm khoảng 2,5 triệu dòng mã.

Tuy nhiên, người dùng cần có chuyên môn để triển khai và chạy nó một cách hiệu quả và an toàn, và điều đó có nghĩa là cần những người trong tổ chức có kỹ năng và thời gian để duy trì các cụm ELK. Nếu những người này rời đi, các công ty cần phải có một khoản dự phòng. Nếu họ không sẵn lòng hoặc không có khả năng đầu tư vào những nguồn lực này, họ có khả năng gặp rắc rối, giống như tình huống tấn công đòi tiền chuộc mới nhất này minh họa.

ELK là phần mềm miễn phí, nhưng hãy nhớ điều Richard Stallman, người sáng lập Quỹ Phần mềm Tự do và Dự án GNU, đã nói về miễn phí: “'Phần mềm miễn phí' là vấn đề tự do, không phải giá cả. Để hiểu khái niệm, bạn nên nghĩ về 'miễn phí' như trong 'tự do ngôn luận', chứ không phải như trong 'bia miễn phí. ”

Cho dù một công ty trả tiền cho dịch vụ quản lý nhật ký hay chạy ELK, thì một cách tiếp cận không nhất thiết phải tốt hơn cách còn lại. Đối với một số công ty, việc chạy một giải pháp quản lý nhật ký được xây dựng trong nhà dựa trên ELK hoặc thậm chí là một giải pháp được xây dựng từ đầu sẽ rất có ý nghĩa. Đối với những người khác, một giải pháp được phân phối có thể là tốt nhất.

Dù vậy, các công ty và nhóm cần phải đánh giá cẩn thận xem mã nguồn mở có phù hợp với kinh doanh hay không và liệu chúng có khả năng hỗ trợ triển khai một cách thực tế hay không mà không gây ra rủi ro. Nếu các yếu tố này không được cân nhắc hoặc hoàn thành một cách chính xác, số lượng các cuộc tấn công ransomware Elasticsearch sẽ tiếp tục tăng lên và là một nỗ lực có lợi cho tin tặc.

14 hữu ích 0 bình luận 4.9k xem chia sẻ

Có thể bạn quan tâm

loading