Linux-Server, auf denen die quelloffene Suchmaschine Elasticsearch läuft, werden momentan zum Ziel von Hackerangriffen. Das berichtet die Sicherheitsfirma Trend Micro, basierend auf einer eigenen Untersuchung.

Die Angriffe nutzen eine Sicherheitslücke in Elasticsearch aus, für die es bereits Updates gibt, die aber offensichtlich auf einigen Systemen noch nicht eingespielt sind. Die Hacker installieren darüber eine Malware, die sich ziemlich tief in das Linux-Betriebssystem eingräbt, ihre Spuren verwischt und auf Instruktionen ihrer Hüter wartet.

Eine ähnliche Schadsoftware wird bereits seit Jahren auf Linux-Servern platziert, unter anderem über Lücken in Apache Struts. Trend Micro vermutet, dass die Hacker Angriffe auf andere Webseiten vorbereiten, die sie unerreichbar machen wollen – sogenannte DDoS-Attacken.

BillGates hat es auf unschuldige Webseiten abgesehen

Die aktuell über gehackte Elasticsearch-Installationen eingespielte Malware ist unter den Namen Setag und BillGates bekannt. Sie ersetzt eine Reihe von Linux-Systemtools und kopiert sich in diverse Verzeichnisse des Init-Systems; unter anderem in Verzeichnisse, die normalerweise zum Sicherheitssystem SELinux gehören.

Sie kann eine ganze Reihe von Angriffstechniken durchführen, die einen Distributed Denial-of-Service (DDoS) bei einer Zielwebseite auslösen können. Trend Micro spricht nicht davon, dass man aktuell solche Angriffe beobachtet hat. Die Sicherheitsfirma vermutet stattdessen, dass die unbekannten Angreifer die Elasticsearch-Server kapern, um eine Angriffsplattform für spätere Angriffe vorzubereiten. Es könnte aber auch sein, so eine andere Vermutung der Forscher, dass die Hacker nur ihren Werkzeugkasten ausprobieren oder verfeinern wollen.

Angriffsziel Elasticsearch

Laut Trend Micro werden Angriffe auf Elasticsearch momentan häufiger. In den meisten Fällen beobachteten die Sicherheitsforscher allerdings, dass dort eher versteckte Krypto-Miner oder Erpressungstrojaner installiert werden. Die Hacker nutzen so aus, dass viele Firmen Elasticsearch verwenden, um Webseiten oder Web-Applikationen mit mächtigen Such-Möglichkeiten zu versehen. Elasticsearch ist in diesem Bereich wahrscheinlich die beliebteste lokale Suchmaschinen-Lösung.

Die aktuellen Angreifer zeichnen sich eher dadurch aus, dass sie versteckt vorgehen und versuchen, möglichst wenig Aufmerksamkeit auszulösen. Das sollte die Alarmglocken der betroffenen Admins aufschrillen lassen, so die Sicherheitsforscher. Dass auf eher grobschlächtige Angriffe später Hacker mit raffinierteren Methoden folgen, ist allerdings business as usual im ewigen Katz-und-Maus-Spiel zwischen Hackern und Sicherheits-Firmen.

Die Schwachstelle ist seit Anfang 2015 verhinderbar

Admins, die Elasticsearch einsetzen, sollten sicherstellen, dass sie ihre Installationen zeitnah mit Updates versorgen. Für die von Trend Micro angegebene Sicherheitslücke (CVE-2015-1427), die bei aktuellen Angriffen ausgenutzt wird, gibt es bereits seit Anfang 2015 entsprechende Updates. Dabei handelt es sich über eine Schwachstelle in der Skriptsprache Groovy, die missbraucht werden kann, bösartige Befehle in Suchanfragen einzubetten. Auf diese Weise laden die Angreifer ein Skript aus dem Netz herunter und führen es aus.

Im aktuellen Fall schaltet es eventuell vorhandene, störende Firewall-Regeln aus, entfernt andere installierte Malware (etwa versteckte Krypto-Miner), installiert den BillGates-Schadcode und verwischt dann seine Spuren. All das läuft über die Bordmittel des Linux-Servers. Ungepatchte Systeme sollten spätestens jetzt abgesichert werden, damit der Suchmaschinen-Server nicht ungewollt zum Ausgangspunkt für Angriffe auf Drittwebseiten wird. (fab)