Laut Angaben zufolge, haben Sicherheitsforscher von Kromtech ein aus 4000 gekaperten ElasticSearch-Servern bestehendes Botnet entdeckt. In der Cloud von Amazon Web Services (AWS) sollen sich die, zum Großteil als Command-and-Control-Server missbrauchten, Instanzen befinden.

Diverse Kampagnen von Point-of-Sale-Malware (POS) sollen von unbekannten Kriminellen koordinieret werden. Zum Beispiel können sich POS-Trojaner in Kassensystemen einnisten und dabei Kreditkartendaten abziehen.

Den Untersuchungen von Kromtech zufolge findet das Kapern von Elastic-Search-Servern vor allem in der Amazon-Cloud statt, da man dort zum Teil kostenlose t2.micro-Instanzen nutzen kann. Viele Nutzer überspringen bei der Ersteinrichtung die Sicherheitseinstellungen. Die von den Sicherheitsforschern entdeckten gekaperten Server setzen keine Authentifizierung voraus – die Tür ist so quasi für jedermann offen, so vermuten die Sicherheitsforscher.

Offenbar ist noch nicht bei allen angekommen, dass der Zugang durch Log-in-Daten beschränkt werden muss. Spätestens jetzt sollte jeder, der etwas betreibt, einen Benutzernamen und Kennwort vergeben. in vielen Fällen kann zusätzlich der Zugriff auf bestimmte IP-Adressen beschränkt werden und so potenzielle Angreifer aussperren.

Die Sicherheitsforscher empfehlen den Betreibern von ElasticSearch-Servern für diesen konkreten Fall, den Traffic und die Log-Dateien ihrer Instanzen zu überwachen. Dies sollte auch in regelmäßigen Zeitabständen erfolgen. Unteranderem sollte eine aktuelle ElasticSearch-Version sichergestellt werden.

Die gekaperten Instanzen setzen die veralteten Ausgaben 1.5.2 und 2.3.2 ein. Die Aktuelle Version ist 5.6.0. Derzeit gibt es maximal Ausgabe 5.5 beim Amazon Web Service. Weitere Sicherheitstipps gibt es direkt beim Anbieter.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE