編者按:關于 Elasticsearch 勒索事件,雷鋒網(公眾號:雷鋒網)此前已經進行過報道。1月18日,雷鋒網收到白帽匯公司關于該事件的最新研究結果。該文轉自微信公眾號“北京白帽匯科技有限公司”,作者為“安全實驗室”,原文標題為《威脅情報預警:Elasticsearch勒索事件》,雷鋒網已獲授權。
----
2017年1月12日,白帽匯監測到針對全球使用廣泛的全文索引引擎Elasticsearch的勒索事件,經過多日的跟進分析,直至2017年1月17日,共有3波勒索者,根據白帽匯FOFA系統對刪除之前數據與被刪除數據進行對比分析,此次攻擊被刪除的數據至少500億條,被刪除數據至少450TB。在勒索事件發生后,有1%的Elasticsearch啟用了驗證插件,另外有2%則關閉了Elasticsearch。
【注:以上比特幣價格按照事發當日比特幣價格換算】
事件回顧
2017年1月12日上午10時
白帽匯發現第一波勒索者,分析統計,發現共有10264臺服務器已經遭受攻擊,并且還一直持續增長。
攻擊者會刪除Elasticsearch所有索引信息,并創建一個名為warning的索引,勒索者寫入需要支付0.2比特幣才給受害者發送數據(目前按照比特幣市場價格,約等于150美元),并留下郵箱地址[email protected]。該郵箱域與Mongodb勒索的作者使用的是同一個域,id不同.據了解,此前Mongodb勒索攻擊者其實并未備份數據,而是直接刪除,而目前確認Elasticsearch也是一樣,并未對數據進行備份,而是直接刪除全部。
2017年1月14日中午12時
白帽匯發現第二波勒索者,創建一個名為please_read名字的索引。攻擊者留下類似的文字,該勒索信息顯示需要支付0.5BTC(按照當天比特幣市場價格,約等于400美元)。郵箱[email protected]。
2017年1月16日中午12時
白帽匯發現第三波勒索者,其創建的索引為pleasereadthis.使用的郵箱地址為[email protected]。
影響范圍
截止2017年1月17日,白帽匯通過FOFA系統中的68000余個Elasticsearch進行統計分析,發現目前全球共有9750臺存在勒索信息。其中此次被刪除的數據達到至少500億條,被刪除數據大小至少450TB。通過兩次勒索情況的對比分析,發現有大概1%的Elasticsearch使用了驗證插件,另外有2%則關閉Elasticsearch,現在已經無法訪問。
白帽匯FOFA系統中顯示,互聯網上公開可訪問的Elasticsearch超過68000余臺。其中,共有受害總數9750臺。
目前全球中受影響最多的為美國4380臺,其次是中國第二944臺。法國787臺,愛爾蘭462臺,新加坡418臺。以下是Elasticsearch勒索全球分布范圍:
【Elasticsearch受勒索影響全球分布】
其中,中國受害的有944臺。其中,浙江省受影響最嚴中,有498臺,其次是北京,186臺,上海52臺,湖南43臺,上海42臺。
【Elasticsearch中國地區受害影響范圍】
安全建議
Elasticsearch方便,實用的同時,也引入了安全隱患和數據泄露的風險。
那么如何加強安全防范呢,這里給大家如下安全建議:
1、 增加驗證,官方推薦并且經過認證的是shield插件,該項目為收費項目,可以試用30天。網絡中也有免費的插件,可以使用elasticsearch-http-basic,searchguard插件。
Shield 可以通過bin/plugin install [github-name]/[repo-name] 形式安裝。
2、 使用Nginx搭建反向代理,通過配置Nginx實現對Elasticsearch的認證。
3、 如果是單臺部署的Elasticsearch,9200端口不要對外開放。
4、 使用1.7.1以上的版本。在1.7.1以上版本目前還沒有爆出過相關漏洞。
5、 另外elasticsearch的官方也有其他產品與Elasticsearch配合緊密的,這些產品也存在漏洞,企業如果有使用其他相關產品存在漏洞也要進行修復,如Logstash,Kibana。
6、 加強服務器安全,安裝防病毒軟件,使用防火墻,網站安裝WAF.并對數據庫,系統,后臺,使用的服務設置復雜的密碼,建議設置16位的大小寫字母+特殊字符+數字組合。
相關鏈接
全球Elasticsearch分布
https://fofa.so/result?qbase64=KChwb3J0PTkyMDAgJiYgcHJvdG9jb2w9aHR0cCAmJiBiYW5uZXI9anNvbikg%0AfHwgKGhlYWRlcj1qc29uICYmIGJvZHk9ImNsdXN0ZXJfbmFtZSIpKQ%3D%3D
京公網安備 11010502049343號