Kriminelle haben es nach den Erpressungsversuchen gegen Betreiber von MongoDB-Datenbanken auf Elasticsearch-Installationen abgesehen.

Laut einer Analyse der Sicherheitsforscher Matt Bromiley, Victor Gevers und Niall Merrigan seien tausende Elasticsearch-Installationen betroffen. Inzwischen haben die Täter mehr als dreitausend Installationen lahmgelegt und mit Lösegeldforderungen versehen. Betroffen sind unter anderem auch deutsche Ziele. Um Zugriff auf seine Daten zu bekommen, soll der Betreiber 0,1 bis 0,2 Bitcoin (rund 80 bis 160 Euro) an die Täter bezahlen.

Auf diesem Weg versuchten mindestens zwei Opfer, ihre Daten über die öffentlich einsehbaren Bitcoin-Transaktionen zu retten. Über Twitter machte das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf das Problem aufmerksam. Deutsche Netzbetreiber seien allerdings schon vor zwei Jahren auf offene Elasticsearch-Instanzen hingewiesen worden. In solchen Fällen werden Netzbetreiber üblicherweise aufgefordert, seine betroffenen Kunden über das Sicherheitsproblem in Kenntnis zu setzen.

Drei Forscher haben in ihrem Advisory Absicherungtipps von Elasticsearch zusammengestellt. Eine Firewall Regel findet sich ebenfalls darunter, welche verhindert, dass auf Port 9200 mit nicht vertrauenswürdigen IP-Adressen kommuniziert wird. Allerdings ist der wichtigste Tipp regelmäßige Backups anzufertigen, um Daten im Notfall wiederherstellen zu können. Für den sicheren Betrieb von Elasticsearch-Clustern hat der Hersteller weitere Tipps aufgelistet.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE