安全研究人员观察到针对Elasticsearch集群的多个威胁参与者的攻击数量激增，这被认为是企图在受害者机器上传播恶意软件。

根据 思科Talos研究人员发表的一篇博客文章，攻击者出现了使用1.4.2及更低版本的目标群集，并利用旧漏洞将脚本传递给搜索查询并放弃攻击者的有效负载 。研究人员发现恶意软件和加密货币矿工都被留在了目标机器上。

研究人员解释说，由于Elasticsearch通常用于管理非常大的数据集，因此，由于存在大量数据，成功攻击群集的后果可能是毁灭性的。

黑客一直在使用CVE-2015-1427一直部署两个不同的有效载荷。第一个有效负载调用wget来下载bash脚本，而第二个有效负载使用混淆的Java来调用bash并使用wget下载相同的bash脚本。

研究人员还看到了第二个利用CVE-2014-3120的黑客，利用它来提供有效载荷，该有效载荷是比尔盖茨分布式拒绝服务恶意软件的衍生物。“这种恶意软件再次出现是值得注意的，因为虽然Talos之前在我们的蜜罐中观察到了这种恶意软件，但大多数参与者已经从DDoS恶意软件转移到了非法矿工，”研究人员说。

据观察，第三名黑客使用针对CVE-2014-3120的攻击从HTTP文件服务器下载名为“LinuxT”的文件。试图下载“LinuxT”示例的主机也丢弃了执行命令“echo”qq952135763。'的有效负载。

“在弹性搜索错误日志中可以看到这种行为可以追溯到几年前，”研究人员说。

研究人员设置的蜜罐还检测到利用Elasticsearch的其他主机丢弃执行“echo”qq952135763“和”echo“952135763”的有效载荷，这表明这些攻击与同一个QQ帐户有关。

“然而，没有观察到与这些攻击相关的IP试图下载与此攻击者相关联的”LinuxT“有效负载。此外，与此攻击者相关的其他活动不同，这些攻击利用了较新的Elasticsearch漏洞，而不是较旧的漏洞，“研究人员表示。

研究人员表示，这些Elasticsearch漏洞仅存在于1.4.2及更低版本中，因此运行现代版Elasticsearch的任何群集都不受这些漏洞的影响。“鉴于这些集群所包含的数据集的大小和敏感性，违反这种性质的影响可能非常严重，”研究人员警告说。

如果可能的话，敦促使用Elasticsearch的组织修补并升级到更新版本的Elasticsearch。