Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Bots DDoS en la nube de Amazon
Los objetivos de este ataque son las instancias EC2 que cuentan con Elasticsearch 1.1.x en Amazon.
Mediante la instalación de malware DDoS, los atacantes han explotado una vulnerabilidad en el motor de búsqueda Elasticsearch en Amazon, además existe la posibilidad que otros servidores en la nube se encuentren afectados.
Elasticsearch es un buscador de código abierto desarrollado en Java que recientemente ha incrementado su popularidad, permite que las aplicaciones lleven a cabo búsquedas de texto completo para varios tipos de documentos mediante la API REST (Interfaz de programación de aplicaciones de Transferencia de Estado Representacional).
Debido a que tiene una arquitectura distribuida que permite múltiples nodos, Elasticsearch es comúnmente usada en entornos de nube. Está implementada en plataformas de cómputo en la nube de Amazon (EC2 por sus siglas en inglés), Azure de Microsoft, Google Compute Engine y otras.
La versión 1.1 de Elasticsearch tiene soporte activo para scripting mediante llamadas prestablecidas a la API. Esta característica es un riesgo de seguridad debido a que no necesita autenticación y el código de los script no se encuentra en la sandbox.
Los investigadores de seguridad reportaron a principios de este año que algunos usuarios mal intencionados podían explotar la capacidad de scripting de Elasticsearch, ejecutando código arbitrario en el servidor subyacente, dicha vulnerabilidad se encuentra como CVE-2014-3120 de la base de datos del CVE.
Los desarrolladores de Elasticsearch no tienen alguna solución de seguridad para la versión 1.1.x, pero han iniciado con la versión 1.2.0 que será liberada el 22 de mayo, la cual tendrá la opción de scripting dinámico desactivada por defecto.
La semana pasada los investigadores de Karpesky encontraron nuevas variantes de Mayday, un troyano para sistemas operativo Linux que fue usado para iniciar los ataques distribuidos DDoS. Dicho malware es compatible con varias técnicas de ataques DDoS incluyendo la amplificación DNS.
Una de las nuevas variantes de Mayday fue encontrada ejecutándose en una estancia EC2 de un servidor de Amazon comprometido, pero esta no es la única plataforma que ha tenido un uso indebido, comentó el investigador de Kaspersky Kurt Baumgartner en una publicación realizada del día viernes.
