Le moteur de recherche Elasticsearch basé sur Java est très répandu dans les environnements d'entreprise où il est généralement associé à la collecte de logs, à l’analyse de données et aux plates-formes de visualisation. Le premier signalement d’un cluster Elasticsearch affecté par un ransomware est apparu jeudi dernier sur les forums de support officiels : un utilisateur qui effectuait un déploiement de tests accessible depuis Internet a expliqué que toutes les données de son cluster avaient été effacées, sauf un fichier index contenant le message de rançon suivant : « Envoyez 0,2 BTC (bitcoins) - 160 euros environ - à ce portefeuille : 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r si vous voulez récupérer votre base de données ! »
Niall Merrigan, un chercheur en sécurité qui suit depuis deux semaines l’effacement des bases de données MongoDB par des ransomwares, a rapporté sur Twitter qu’à ce jour, plus de 600 clusters Elasticsearch avaient été affectés. Et ce n'est probablement que le début : en effet, selon certaines estimations, il y a environ 35 000 déploiements Elasticsearch accessibles depuis Internet. Dans le cas des bases de données MongoDB effacées, leur nombre est passé en quelques jours de quelques centaines à des milliers. Au total, 34 000 bases de données MongoDB ont été compromises.
Bloquer les accès Web
Selon les experts, il n'y a aucune raison d'exposer des clusters Elasticsearch à Internet. En réponse à ces récentes attaques, Itamar Syn-Hershko, architecte spécialisé dans les technologies de recherche et les systèmes distribués, a partagé sur un blog quelques recommandations concernant la sécurisation des déploiements Elasticsearch. Celui-ci conseille notamment d’ajouter « un logiciel de façade capable de filtrer les demandes, de faire de l’audit de logging et plus important encore, de protéger les données par mot de passe, si vous utilisez une application web monopage pour interroger Elastic et recevoir des jsons pour l'affichage ». A défaut : « (1) vous serez à coup sûr relié à une IP publique et c’est justement ce que vous devez éviter ; (2) : vous exposez vos données à des changements indésirables ; (3) : pire encore, vous ne pouvez pas contrôler qui accède à quoi et toutes vos données sont visibles par tout le monde. Exactement, ce qui est en train d’arriver aujourd’hui aux clusters Elasticsearch ».
Par ailleurs, si vous êtes victime de ces attaques, il est préférable de ne pas payer la rançon car rien ne permet d’affirmer que les attaquants sont réellement en possession de vos données. Les experts qui ont aidé les victimes MongoDB ont déclaré qu'ils n’avaient trouvé dans les logs du serveur aucune preuve que les données avaient été exfiltrées avant d’être effacées. A court terme, les attaques de ransomware contre les serveurs ont peu de chance de s'arrêter : MongoDB et Elasticsearch ne sont pas les seuls systèmes de stockage de données mal protégés sur Internet.