Des pirates informatique ont exploité une vulnérabilité dans un serveur de moteur de recherche Open Source populaire, pour installer un malware DDoS sur Amazon. Le Cloud d’Amazon pourrait être la proie d’attaques DDoS si le problème n’est pas résolu.
Ces hackers ont ciblé les serveurs Amazon Elastic Cloud Computing (EC2) sur lesquelles tournent des versions 1.1.x d’Elasticsearch. Mais, selon Kaspersky Lab, d’autres fournisseurs de cloud doivent probablement faire face au même problème.
Elasticsearch permet aux applications d’effectuer une recherche en texte plein dans différents types de documents, grâce à une API dite REST (Representational State Transfer). Il est développé en Java et est couramment utilisé dans les environnements cloud.
Plus tôt cette année, des chercheurs en sécurité avaient prévenu que des internautes malveillants pouvaient exploiter la fonction de scripting du moteur de recherche Open Source, pour envoyer un code au serveur sous-jacent. La vulnérabilité a été identifiée sous la référence CVE-2014-3120 dans la base Common Vulnerabilities and Exposures (CVE).
La semaine dernière, les chercheurs en sécurité de Kaspersky Lab avaient trouvé de nouvelles variantes de Mayday, un cheval de Troie sous Linux utilisé pour lancer des attaques par déni de service distribuées (DDoS).
« Les hackers s’introduisent dans les instances EC2, c’est à dire dans des machines virtuelles gérées par les clients d’Amazon EC2, en exploitant la vulnérabilité CVE-2014-3120 identifiée dans Elasticsearch 1.1.x. Cette version est encore utilisée par certaines entreprises dans leurs déploiements commerciaux, au lieu des versions 1.2 .x et 1.3.x », explique le chercheur de Kaspersky Lab, Kurt Baumgartner.
La variante Mayday, trouvée sur les instances EC2 , n’utilisait pas l’amplification de DNS, se contentant de submerger les sites avec du trafic UDP. « L’impact sur les flux est également assez important pour qu’Amazon décide aujourd’hui d’informer ses clients, probablement en raison d’une augmentation excessive des ressources utilisées et donc des coûts supplémentaires potentiels pour les clients », a-t-il ajouté.
