Elasticsearch es un servidor de búsquedas, de creciente popularidad. Ha sido desarrollado en Java, en modalidad de código abierto, y permite a las aplicaciones realizar búsquedas de texto completo en varios tipos de documentos.
Debido a su arquitectura distribuida que permite su ejecución en nodos múltiples, Elasticsearch es comúnmente utilizado en entornos de nube, en este caso de Amazon Elastic Compute Cloud (EC2).
Las versiones 1.1.x de Elasticsearch tienen soporte para scripting activo a través de llamadas a la API en su configuración predeterminada. Según Kaspersky Lab, esta función supone un riesgo de seguridad, ya que no requiere autenticación, a la vez que el código de secuencia de comandos no es ejecutado en un sandbox; es decir, en modo aislado.
Los desarrolladores de Elasticsearch no han lanzado un parche para la variante 1.1.x, pero a partir de la versión 1.2.0, lanzada el 22 de mayo, el scripting dinámico está desactivado por defecto.
La semana pasada, investigadores de seguridad de Kaspersky Lab detectaron nuevas variantes de Mayday, un troyano para Linux utilizado para lanzar ataques distribuidos de denegación de servicio (DDoS). El malware es compatible con varias técnicas de DDoS, incluyendo la denominada amplificación de DNS.
Una de las nuevas variantes de Mayday fue descubierta en plena actividad nociva en instancias de Amazon EC2, aunque no es la única plataforma que está siendo afectada, dijo Kurt Baumgartner, investigador de Kaspersky Lab.
Según Baumgartner, los atacantes irrumpen en las máquinas virtuales utilizadas por los clientes de Amazon EC2, explotando una vulnerabilidad en Elasticsearch 1.1.x. El experto precisó que esta versión sigue siendo utilizada por algunas organizaciones con fines comerciales, a pesar de la disponibilidad de Elasticsearch 1.2.xy 1.3.x.
Baumgartner indica que los atacantes instalan un script de puerta trasera que permite el acceso remoto para ejecutar comandos shell de Linux. El script es identificado por los productos de Kaspersky como Backdoor.Perl.RShell.c. Una vez instalado, el malware descarga la nueva versión del bot Mayday DDoS, detectado como Backdoor.Linux.Mayday.g.
