سرورهای بدون رمز عبور Elasticsearch با حملات سایبری گستردهای مواجه شدند.
منبع : مرکز مدیریت راهبردی افتا
سرورهای بدون رمز عبور Elasticsearch با حملات سایبری گستردهای مواجه شدند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در هفتههای اخیر یک هکر با رخنه به آن دسته از سرویسدهندگان Elasticsearch که در بستر اینترنت، بدون رمز عبور قابل دسترس بودهاند اقدام به حذف محتوای آنها کردهاست. Elasticsearch موتور جستوجویی است که به زبان Java نوشته شدهاست.
به گفته یکی از محققان حملات مذکور از ۵ فروردین آغاز شده و در جریان آن از اسکریپتی خودکار بهمنظور پویش اینترنت و شناسایی سیستمهای محفاظت نشده Elasticsearch و در ادامه اتصال به بانکهای داده آنها و حذف اطلاعات کمک گرفته شدهاست.
نکته جالب اینکه مهاجم یک نمایه (Index) جدید خالی را با عنوان وب سایت یک شرکت امنیتی بر روی سرور هک شده ایجاد میکند. ظاهراً هدف این اقدام هکر بدنام کردن این شرکت بوده باشد. بهنظر میرسد که اسکریپت مذکور بر روی تمامی نمونهها بهدرستی اجرا نشده و در مواردی بدون هر گونه دستدرازی به محتوا، صرفاً نمایه مورد نظر در بانک داده درج شده است. با این حال، بر روی بسیاری از این سرورهای Elasticsearch، حذف ورودیهای لاگ در تاریخهای اخیر مشهود است. به دلیل ذات دائماً در حال تغییر دادههای ذخیره شده بر روی سرورهای Elasticsearch برآورد تعداد دقیق سیستمهایی که اطلاعات آنها حذف شده دشوار است.
در حالی که اجرای این حملات ابتدا یک شوخی به نظر میآمد اما افزایش سرورهای هک شده از تقریباً ۱۵۰ مورد در روزهای نخست به ۱۵ هزار مورد بر اساس آمار BinaryEdge از گسترده بودن دامنه این حملات حکایت دارد.
همچنین بررسی در موتور جستوجوگر BinaryEdge نشان میدهد که در حال حاضر در مجموع ۳۴۵۰۰ سرور Elasticsearch بر روی اینترنت قابل دسترس هستند.
یکی از محققان که در حال آمادهسازی فهرستی از سرورهای تأثیر پذیرفته از این حملات است اعلام کرده که در حین بررسی، هکر دیگری را شناسایی نموده که او نیز سرورهای Elasticsearch را مورد هدف قرار میداده است.
هکر مذکور با رخنه به سرورهای غیرامن اقدام به درج پیامی کرده که در آن ضمن اعلام هک شدن سرور از قربانی خواسته میشود تا با او از طریق ایمیل تماس گرفته شود. در حال حاضر تنها ۴۰ سرور حاوی این پیام شناسایی شده و بنابراین دامنه حملات آن گسترده بهنظر نمیرسد.
این اولین بار نیست که در جریان حملات سایبری دادههای ذخیره شده بر روی Elasticsearch حذف میشوند. در بهار و پاییز ۲۰۱۷ چندین گروه هکر اقدام به اجرای حمله باجافزاری بر ضد چند فناوری پایگاه داده ازجمله Elasticsearch کردند. دادههای هزاران سرور Elasticsearch در آن سال حذف و در ازای آنچه که مهاجمان بازگردانی اطلاعات میخواندند از قربانیان اخاذی شد. این در حالی بود که مهاجمان از فایلهای حذف شده نسخه پشتیبان تهیه نکرده بودند و عملاً حتی در صورت پرداخت باج، فایلها توسط آنها قابل بازگردانی نبود.