大家好，我是本栏目的编辑郝帅，现在我来给大家讲解一下上面的问题。安全研究人员观察到，针对弹性搜索集群中多个威胁参与者的攻击数量急剧增加，这被认为是试图在受害者的机器上传播恶意软件。

根据思科Talos研究人员发布的一篇博文，攻击者使用1.4.2版及更早版本出现了一个目标集群，并使用旧漏洞将脚本传递给搜索查询并放弃攻击者的有效负载。研究人员发现，恶意软件和加密货币矿工被留在了目标机器上。

研究人员解释说，Elasticsearch通常用于管理非常大的数据集，因此由于有大量数据，成功攻击集群的后果可能是毁灭性的。

黑客一直在使用CVE-2015-1427部署两种不同的有效载荷。第一个负载调用wget下载bash脚本，而第二个负载使用混乱的Java调用bash，并使用wget下载相同的bash脚本。

研究人员还看到第二名黑客使用CVE-2014-3120提供有效载荷，这是比尔盖茨分布式拒绝服务恶意软件的衍生产品。研究人员表示：“这种恶意软件的再次出现值得注意，因为尽管Talos之前在我们的蜜罐中观察到了这种恶意软件，但大多数参与者已经从DDoS恶意软件转向了非法矿工。

据观察，第三名黑客利用对CVE-2014-3120的攻击，从HTTP文件服务器下载了一个名为“LinuxT”的文件。尝试下载“LinuxT”示例的主机也丢弃了命令“echo”QQ 952135763。'的有效负载。

“这种行为可以追溯到几年前，”研究人员说。

研究人员设置的蜜罐还检测到其他使用Elasticsearch的主机丢弃了执行“Echo”qq 952135763和“Echo”952135763的有效载荷，这表明这些攻击与同一个QQ账户有关。

“但是，没有观察到与这些攻击相关联的IP试图下载与该攻击者相关联的LinuxT有效负载。此外，与与该攻击者相关的其他活动不同，这些攻击利用了较新的弹性搜索漏洞，而不是较旧的漏洞，”研究人员说。

根据研究人员的说法，这些Elasticsearch漏洞只存在于1.4.2和更早的版本中，因此任何运行现代Elasticsearch的集群都不会受到这些漏洞的影响。研究人员警告说：“鉴于这些集群中包含的数据集的规模和敏感性，违反这一性质的影响可能非常严重。

如果可能，敦促使用弹性搜索的组织修补并升级到弹性搜索的更新版本。