엘라스틱서치(Elasticsearch) 취약점을 이용한 아마존 클라우드 내 DDoS Bot 설치

• 글로벌 보안 업체 카스퍼스키랩은 검색 엔진 소프트웨어 엘라스틱서치(Elasticsearch) 내 취약점을 이용하여
  아마존 EC2를 포함한 클라우드 서버 내 DDoS 악성코드를 설치할 수 있다고 발표

 

주요내용

• 자바로 개발된 엘라스틱서치는 오픈소스로 제공되는 검색엔진으로, 문서 내 다양한 유형에 대해 텍스트 검색을
  지원함 
     - 분산형 아키텍처 구조로 설계되어 주로 클라우드 환경에서 사용되며, 아마존 EC2 및 구글 Compute Engine 
       등 다양한 클라우드 플랫폼에서 사용이 가능함
• 엘라스틱서치 1.1.x 버전의 경우 액티브 스크립팅(activing scripting)으로 인한 취약점 존재 
     - 기본 설정에서 액티브 스크립팅이 활성화 되어 있으며, 해당 기능은 인증 단계 부재 및  스크립트 코드가 
       샌드박스화 되어 있지 않아 보안상 취약함
     - 보안 전문가들은 이 기능을 통해 서버에 임의의 코드를 실행할 수 있는 취약점을 발표함 (취약점 코드 : 
       CVE-2014-3120)
• 엘라스틱서치 개발자는 1.1.x 버전의 보안 패치를 발표하지 않았으나, 금년 5월경 기본 설정에서 동적 스크립트
  기능을 비활성화 처리한 1.2.0 버전을 배포함
• 카스퍼스키랩은 아마존 EC2 서버에 대해 초기 단계부터 모니터링을 수행한 결과 공격자가 엘라스틱서치 
  취약점을 이용하여 펄 기반의 웹셸을 설치하였다고 발표
     - 해당 웹셸을 통해 DDoS 공격 악성코드“mayday”의 변종을 서버에 설치함
        ※ 웹셸 : 웹을 통해 원격에서 리눅스 명령어를 실행할 수 있도록 제작된 백도어 스크립트
     - 해당 악성코드의 경우 미국 내 은행, 대형 전자업체, 일본 서비스 공급자 등을 목표로 오직 UDP 트래픽만을
       이용하여 공격을 수행함
• 고객들에게 해당 문제로 잠재적 위협이 있음을 공지하였으며, 카스퍼스키랩에서는 이러한 피해는 아마존 EC2
  외 다른 클라우드 공급자들에게도 발생할 수 있음

 

[출처]
1. http://www.computerworld.com/s/article/9249991/Attackers_install_DDoS_bots_on_Amazon_cloud_exploit_Elasticsearch_weakness?taxonomyId=85