2017年1月12日,白帽彙監測到針對全球使用廣泛的全文索引引擎elasticsearch的勒索事件,經過多日的跟進分析,直至2017年1月17日,共有3波勒索者,根據白帽彙fofa系統對删除之前資料與被删除資料進行對比分析,此次攻擊被删除的資料至少500億條,被删除資料至少450tb。在勒索事件發生後,有1%的elasticsearch啟用了驗證插件,另外有2%則關閉了elasticsearch。
【注:以上比特币價格按照事發當日比特币價格換算】
2017年1月12日上午10時
白帽彙發現第一波勒索者,分析統計,發現共有10264台伺服器已經遭受攻擊,并且還一直持續增長。
攻擊者會删除elasticsearch所有索引資訊,并建立一個名為warning的索引,勒索者寫入需要支付0.2比特币才給受害者發送資料(目前按照比特币市場價格,約等于150美元),并留下郵箱位址[email protected]。該郵箱域與mongodb勒索的作者使用的是同一個域,id不同.據了解,此前mongodb勒索攻擊者其實并未備份資料,而是直接删除,而目前确認elasticsearch也是一樣,并未對資料進行備份,而是直接删除全部。
2017年1月14日中午12時
白帽彙發現第二波勒索者,建立一個名為please_read名字的索引。攻擊者留下類似的文字,該勒索資訊顯示需要支付0.5btc(按照當天比特币市場價格,約等于400美元)。郵箱[email protected]。
2017年1月16日中午12時
白帽彙發現第三波勒索者,其建立的索引為pleasereadthis.使用的郵箱位址為[email protected]。
截止2017年1月17日,白帽彙通過fofa系統中的68000餘個elasticsearch進行統計分析,發現目前全球共有9750台存在勒索資訊。其中此次被删除的資料達到至少500億條,被删除資料大小至少450tb。通過兩次勒索情況的對比分析,發現有大概1%的elasticsearch使用了驗證插件,另外有2%則關閉elasticsearch,現在已經無法通路。
白帽彙fofa系統中顯示,網際網路上公開可通路的elasticsearch超過68000餘台。其中,共有受害總數9750台。
目前全球中受影響最多的為美國4380台,其次是中國第二944台。法國787台,愛爾蘭462台,新加坡418台。以下是elasticsearch勒索全球分布範圍:
【elasticsearch受勒索影響全球分布】
其中,中國受害的有944台。其中,浙江省受影響最嚴中,有498台,其次是北京,186台,上海52台,湖南43台,上海42台。
【elasticsearch中國地區受害影響範圍】
elasticsearch友善,實用的同時,也引入了安全隐患和資料洩露的風險。
那麼如何加強安全防範呢,這裡給大家如下安全建議:
1、 增加驗證,官方推薦并且經過認證的是shield插件,該項目為收費項目,可以試用30天。網絡中也有免費的插件,可以使用elasticsearch-http-basic,searchguard插件。
shield 可以通過bin/plugin install [github-name]/[repo-name] 形式安裝。
2、 使用nginx搭建反向代理,通過配置nginx實作對elasticsearch的認證。
3、 如果是單台部署的elasticsearch,9200端口不要對外開放。
4、 使用1.7.1以上的版本。在1.7.1以上版本目前還沒有爆出過相關漏洞。
5、 另外elasticsearch的官方也有其他産品與elasticsearch配合緊密的,這些産品也存在漏洞,企業如果有使用其他相關産品存在漏洞也要進行修複,如logstash,kibana。
6、 加強伺服器安全,安裝防病毒軟體,使用防火牆,網站安裝waf.并對資料庫,系統,背景,使用的服務設定複雜的密碼,建議設定16位的大小寫字母+特殊字元+數字組合。