انتشار شده در تاریخ 1399/01/20 - 19:36

حمله گسترده به سرورهای Elasticsearch

در هفته‌های اخیر یک هکر با رخنه به آن دسته از سرویس‌دهندگان Elasticsearch که در بستر اینترنت، بدون رمز عبور قابل‌دسترس بوده‌اند اقدام به حذف محتوای آن‌ها کرده است

به گزارش کارگروه حملات سایبری سایبربان ، به نقل از پایگاه اینترنتی ZDNet، به گفته یکی از محققان حملات مذکور از ۵ فروردین آغازشده و در جریان آن از اسکریپتی خودکار به‌منظور پویش اینترنت و شناسایی سیستم‌های محافظت نشده Elasticsearch و در ادامه اتصال به بانک‌های داده آن‌ها و حذف اطلاعات کمک گرفته‌شده است.
نکته جالب اینکه مهاجم یک نمایه (Index) جدید خالی را با عنوان وب‌سایت یک شرکت امنیتی بر روی سرور هک شده ایجاد می‌کند. ظاهراً هدف این اقدام هکر بدنام کردن این شرکت بوده باشد. به نظر می‌رسد که اسکریپت مذکور بر روی تمامی نمونه‌ها به‌درستی اجرانشده و در مواردی بدون هرگونه دست‌درازی به محتوا، صرفاً نمایه موردنظر در بانک داده درج‌شده است.
بااین‌حال، بر روی بسیاری از این سرورهای Elasticsearch، حذف ورودی‌های لاگ در تاریخ‌های اخیر مشهود است. به دلیل ذات دائماً در حال تغییر داده‌های ذخیره‌شده بر روی سرورهای Elasticsearch برآورد تعداد دقیق سیستم‌هایی که اطلاعات آن‌ها حذف‌شده دشوار است.
درحالی‌که اجرای این حملات ابتدا یک شوخی به نظر می‌آمد اما افزایش سرورهای هک شده از تقریباً ۱۵۰ مورد در روزهای نخست به ۱۵ هزار مورد بر اساس آمار BinaryEdge از گسترده بودن دامنه این حملات حکایت دارد.
همچنین بررسی در موتور جستجوگر BinaryEdge نشان می‌دهد که در حال حاضر درمجموع ۳۴۵۰۰ سرور Elasticsearch بر روی اینترنت قابل‌دسترس هستند.
یکی از محققان که در حال آماده‌سازی فهرستی از سرورهای تأثیر پذیرفته از این حملات است اعلام کرده که در حین بررسی، هکر دیگری را شناسایی نموده که او نیز سرورهای Elasticsearch را مورد هدف قرار می‌داده است.
هکر مذکور با رخنه به سرورهای غیرامن اقدام به درج پیامی کرده که در آن ضمن اعلام هک شدن سرور از قربانی خواسته می‌شود تا با او از طریق ایمیل تماس گرفته شود. در حال حاضر تنها ۴۰ سرور حاوی این پیام شناسایی‌شده و بنابراین دامنه حملات آن گسترده به نظر نمی‌رسد.
این اولین بار نیست که در جریان حملات سایبری داده‌های ذخیره‌شده بر روی Elasticsearch حذف می‌شوند. در بهار و پاییز ۲۰۱۷ چندین گروه هکر اقدام به اجرای حمله باج افزاری بر ضد چند فناوری پایگاه داده ازجمله Elasticsearch کردند. داده‌های هزاران سرور Elasticsearch در آن سال حذف و درازای آنچه مهاجمان بازگردانی اطلاعات می‌خواندند از قربانیان اخاذی شد. این در حالی بود که مهاجمان از فایل‌های حذف‌شده نسخه پشتیبان تهیه نکرده بودند و عملاً حتی در صورت پرداخت باج، فایل‌ها توسط آن‌ها قابل بازگردانی نبود.