Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad en Elasticsearch permite ejecución remota de código
Una vulnerabilidad en la aplicación Elasticsearch fue mal corregida y permite la ejecución remota de código ocasionando que los atacantes consigan acceso al servidor sin necesidad de autenticación.
Elasticsearch es un motor de código abierto que permite el análisis y procesamiento de gran cantidad de información. El mes pasado, el equipo de desarrollo de este motor liberó un parche para corregir la vulnerabilidad CVE-2015-1427. Esta vulnerabilidad permite la ejecución arbitraria de comandos en las versiones de Elasticsearch previas a la 1.3.8 y 1.4.3 ya que es posible evadir la protección del ambiente controlado (sandbox) ofrecido por el motor de generación de scripts implementado en Groovy.
Sin embargo, el investigador Jordan Wright, después de sufrir un ataque que explotó la vulnerabilidad parchada, descubrió cómo es posible volver a explotar la falla al analizar a la actualización que se supone debía corregir el error y encontrar un método para evadir las protecciones implementadas.
De acuerdo a Jordan Wrigth, la vulnerabilidad está siendo explotada de manera activa:
"Esta vulnerabilidad no fue divulgada lo suficiente y es absolutamente crítica. De hecho, una de mis propias instancias de Elasticsearch fue comprometida de este modo, lo que muestra que la vulnerabilidad está siendo explotada en entornos reales. [...] En la última semana he detectado muchísimos intentos de descarga de bots [para realizar ataques] DDoS a través de wget al directorio /tmp. [...] No voy a proveer una prueba de concepto completa pero todas las piezas están ahí… ejecutar los comandos que quieras es bastante sencillo."
La solución implementada en las nuevas versiones de Elasticsearch (1.4.4) es deshabilitar la ejecución dinámica de scripts en la sandbox implementada en Groovy, lo que de acuerdo a Cameron Morris, desarrollador de Elasticseach, es un golpe duro al poder del motor de búsqueda. De acuerdo al desarrollador, la compañía se encuentra examinando las posibilidades para mejorar de forma segura las funciones que permiten ejecutar scripts y hacer uso de expresiones regulares.
A los administradores que tengan implementada alguna instancia de Elasticsearch se les recomienda verificar que no sea accesible de manera pública desde Internet, actualizar a la versión más reciente y revisar el directorio /tmp para identificar posible software malicioso descargado al explotar la vulnerabilidad. Asimismo, el desarrollador David Davidson publicó en GitHub una prueba de concepto funcional para quien desee probar sus sistemas.
