Специалисты группы Cisco Talos обнаружили рост числа атак на кластеры распределенной поисковой системы Elasticsearch, работающие на устаревших версиях этой платформы. Elasticsearch написана на языке Java и часто используется компаниями для обработки больших объемов данных.
В атаках используются уязвимости, присутствующие в версии 1.4.2 и более старых версиях Elasticsearch. Исследователи считают, что атаками занимается не менее шести разных групп хакеров, и цели их тоже различаются. Одна из групп всегда устанавливает на взломанных системах программы для майнинга криптовалют, а также для эксплуатации уязвимостей в других известных пакетах — Drupal, Oracle WebLogic и Spring Data Commons. Другая группа использует программы для запуска распределенных атак с отказом в обслуживании, а третья устанавливает троянскую программу, известную под названием Spike. Следы, оставленные последней группой, указывают на китайского пользователя QQ, который неоднократно оставлял сообщения на хакерских форумах.
Поскольку в кластерах Elasticsearch нередко размещаются большие объемы конфиденциальных данных, последствия взлома могут быть очень серьезными, подчеркивают исследователи.