逾4000台ElasticSearch服务器沦为POS病毒的C&C服务器

资安业者Kromtech Security Center周二（9/12）指出，他们在网络上发现了逾1.5万台可公开存取的ElasticSearch服务器，其中有超过4000台遭到骇客入侵，成为端点销售系统（Point of Sales，POS）病毒的命令暨控制（Command and Control，C&C）服务器。

POS病毒主要用来窃取使用者的信用卡资讯，而Kromtech却发现，这些ElasticSearch服务器上拥有AlinaPOS或JackPOS等POS病毒的控制界面。

根据Kromtech的分析，促使ElasticSearch服务器被植入C&C恶意程式的主因为缺乏认证机制，采用公开配置可能让骇客取得完整的管理权限，一旦恶意程式就位，骇客就能自远端存取服务器资源，甚至是执行程式以窃取或破坏服务器上所存放的资料。

此外，这些成为POS病毒C&C主机的ElasticSearch服务器有接近99%都座落在AWS服务中，这是因为AWS EC2提供了免费的T2 micro实例，最高可有10Gb硬盘空间，且只支援ElasticSearch 1.5.2及2.3.2两种版本，在感染恶意程式的ElasticSearch服务器中，有52%采用ElasticSearch 1.5.2，并有47%采用ElasticSearch 2.3.2。（来源：Kromtech）

还有些ElasticSearch服务器因被重复攻击而被植入多种C&C恶意程式，得以遥控不同的POS病毒。

Kromtech说，AWS让使用者只需几个步骤就能配置ElasticSearch丛集，但在快速安装的程序中，使用者通常会跳过所有的安全配置，虽然这只是个简单的错误，却会带来严重的影响，或是造成机密资料外泄。