Durch eine verheerende Lücke im quelloffenen Such-Server Elasticsearch übernehmen Kriminelle momentan Server in Amazons Cloud-Umgebung EC2. Sie machen sich dabei die Tatsache zu Nutze, dass sich bis Version 1.2 der Software Elasticsearch-Cluster beliebigen Schadcode unterschieben lassen.

Besucht ein Nutzer eine Webseite mit Schadcode, während sein System Zugang zu einer Elasticsearch-Installation hat, kann diese Webseite auf dem Such-Server beliebige Kommandos ausführen. Der Betreiber der Schadcode-Seite hat vollen Zugriff auf den Cluster und kann Java-Code ausführen (CVE-2014-3120), da es bei Elasticsearch keine Form der Nutzerbeschränkung gibt.

Diese Lücke wird, wie Kaspersky entdeckt hat, wohl dazu missbraucht, eine ganze Reihe von Hintertüren in Zusammenhang mit zwei Rechteausweitungs-Lücken des Linux-Kerns (CVE-2014-0196 und CVE-2012-0056) auf den EC2-Servern zu öffnen. In der Regel werden diese Hintertüren dann dafür genutzt, Ziel-Server mit Traffic zu überfluten. Eine "große regionale US-Bank" soll, so Kaspersky, zu den Opfern der DDoS-Angriffe gehören. Da die Mietkosten für die EC2-Server durch die Traffic-Flut unerwartet in die Höhe getrieben werden, soll Amazon angefangen haben, Kunden mit betroffenen Servern zu informieren, .

Den Elasticsearch-Entwicklern ist die Lücke seit Mai bekannt und Elasticsearch führt ab Version 1.2 der Such-Server per Default über die entsprechende Schnittstelle keine Scripte mehr aus. Nutzer von älteren Versionen der Software sollten diese angesichts des Risikos für die Such-Cluster so schnell wie möglich aktualisieren und sich zweimal überlegen, ob die Scripting-Funktion wirklich benötigt wird.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE