編者按:關(guān)于 Elasticsearch 勒索事件,雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))此前已經(jīng)進行過報道。1月18日,雷鋒網(wǎng)收到白帽匯公司關(guān)于該事件的最新研究結(jié)果。該文轉(zhuǎn)自微信公眾號“北京白帽匯科技有限公司”,作者為“安全實驗室”,原文標(biāo)題為《威脅情報預(yù)警:Elasticsearch勒索事件》,雷鋒網(wǎng)已獲授權(quán)。
----
2017年1月12日,白帽匯監(jiān)測到針對全球使用廣泛的全文索引引擎Elasticsearch的勒索事件,經(jīng)過多日的跟進分析,直至2017年1月17日,共有3波勒索者,根據(jù)白帽匯FOFA系統(tǒng)對刪除之前數(shù)據(jù)與被刪除數(shù)據(jù)進行對比分析,此次攻擊被刪除的數(shù)據(jù)至少500億條,被刪除數(shù)據(jù)至少450TB。在勒索事件發(fā)生后,有1%的Elasticsearch啟用了驗證插件,另外有2%則關(guān)閉了Elasticsearch。
【注:以上比特幣價格按照事發(fā)當(dāng)日比特幣價格換算】
事件回顧
2017年1月12日上午10時
白帽匯發(fā)現(xiàn)第一波勒索者,分析統(tǒng)計,發(fā)現(xiàn)共有10264臺服務(wù)器已經(jīng)遭受攻擊,并且還一直持續(xù)增長。
攻擊者會刪除Elasticsearch所有索引信息,并創(chuàng)建一個名為warning的索引,勒索者寫入需要支付0.2比特幣才給受害者發(fā)送數(shù)據(jù)(目前按照比特幣市場價格,約等于150美元),并留下郵箱地址p1l4t0s@sigaint.org。該郵箱域與Mongodb勒索的作者使用的是同一個域,id不同.據(jù)了解,此前Mongodb勒索攻擊者其實并未備份數(shù)據(jù),而是直接刪除,而目前確認Elasticsearch也是一樣,并未對數(shù)據(jù)進行備份,而是直接刪除全部。
2017年1月14日中午12時
白帽匯發(fā)現(xiàn)第二波勒索者,創(chuàng)建一個名為please_read名字的索引。攻擊者留下類似的文字,該勒索信息顯示需要支付0.5BTC(按照當(dāng)天比特幣市場價格,約等于400美元)。郵箱elasticsearch@mail2tor.com。
2017年1月16日中午12時
白帽匯發(fā)現(xiàn)第三波勒索者,其創(chuàng)建的索引為pleasereadthis.使用的郵箱地址為4rc0s@sigaint.org。
影響范圍
截止2017年1月17日,白帽匯通過FOFA系統(tǒng)中的68000余個Elasticsearch進行統(tǒng)計分析,發(fā)現(xiàn)目前全球共有9750臺存在勒索信息。其中此次被刪除的數(shù)據(jù)達到至少500億條,被刪除數(shù)據(jù)大小至少450TB。通過兩次勒索情況的對比分析,發(fā)現(xiàn)有大概1%的Elasticsearch使用了驗證插件,另外有2%則關(guān)閉Elasticsearch,現(xiàn)在已經(jīng)無法訪問。
白帽匯FOFA系統(tǒng)中顯示,互聯(lián)網(wǎng)上公開可訪問的Elasticsearch超過68000余臺。其中,共有受害總數(shù)9750臺。
目前全球中受影響最多的為美國4380臺,其次是中國第二944臺。法國787臺,愛爾蘭462臺,新加坡418臺。以下是Elasticsearch勒索全球分布范圍:
【Elasticsearch受勒索影響全球分布】
其中,中國受害的有944臺。其中,浙江省受影響最嚴(yán)中,有498臺,其次是北京,186臺,上海52臺,湖南43臺,上海42臺。
【Elasticsearch中國地區(qū)受害影響范圍】
安全建議
Elasticsearch方便,實用的同時,也引入了安全隱患和數(shù)據(jù)泄露的風(fēng)險。
那么如何加強安全防范呢,這里給大家如下安全建議:
1、 增加驗證,官方推薦并且經(jīng)過認證的是shield插件,該項目為收費項目,可以試用30天。網(wǎng)絡(luò)中也有免費的插件,可以使用elasticsearch-http-basic,searchguard插件。
Shield 可以通過bin/plugin install [github-name]/[repo-name] 形式安裝。
2、 使用Nginx搭建反向代理,通過配置Nginx實現(xiàn)對Elasticsearch的認證。
3、 如果是單臺部署的Elasticsearch,9200端口不要對外開放。
4、 使用1.7.1以上的版本。在1.7.1以上版本目前還沒有爆出過相關(guān)漏洞。
5、 另外elasticsearch的官方也有其他產(chǎn)品與Elasticsearch配合緊密的,這些產(chǎn)品也存在漏洞,企業(yè)如果有使用其他相關(guān)產(chǎn)品存在漏洞也要進行修復(fù),如Logstash,Kibana。
6、 加強服務(wù)器安全,安裝防病毒軟件,使用防火墻,網(wǎng)站安裝WAF.并對數(shù)據(jù)庫,系統(tǒng),后臺,使用的服務(wù)設(shè)置復(fù)雜的密碼,建議設(shè)置16位的大小寫字母+特殊字符+數(shù)字組合。
相關(guān)鏈接
全球Elasticsearch分布
https://fofa.so/result?qbase64=KChwb3J0PTkyMDAgJiYgcHJvdG9jb2w9aHR0cCAmJiBiYW5uZXI9anNvbikg%0AfHwgKGhlYWRlcj1qc29uICYmIGJvZHk9ImNsdXN0ZXJfbmFtZSIpKQ%3D%3D