29 مايو 2014
Elasticsearch (http://www.elasticsearch.org/) خادم بحث مشهور مفتوح المصدر. أُحطنا علمًا مؤخرًا بمشكلتين أمنيتين محتملتين في هذا البرنامج. وعلى الرغم من أن هاتين المشكلتين لا تتعلقان بـ AWS، أردنا ضمان أن يكون عملاؤنا على دراية بحيث يمكنهم اتخاذ خطوات مناسبة.
المشكلة الأولى هي تكوين افتراضي غير آمن لإصدارات هذا البرنامج السابقة للإصدار 1.2 والمحددة في CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/). يستطيع المهاجمون الذين يستغلون هذا التكوين غير الآمن تشغيل أوامر عشوائية تضم امتيازات برنامج Elasticsearch الخفي.
المشكلة الثانية هي عدم إمكانية التحكم في الوصول، والتي تسري على كافة إصدارات Elasticsearch. بوسع أي شخص يمكنه الاتصال بمنفذ البحث الاستفسار عن أي فهرس على الخادم أو تعديله. تمثل هاتان المشكلتان مخاطر كبرى حين يكون خادم Elasticsearch مفتوحًا أمام شبكة الإنترنت بأكملها ويعمل على المنفذ الافتراضي، 9200/tcp.
الطريقة الأكثر فعالية لتجنب هذه المشكلات هي ضمان عدم إمكانية الوصول إلى خوادم البحث لديك بواسطة جميع المضيفات على الإنترنت. يمكنك استخدام "مجموعات EC2 الأمنية" لتقييد الوصول إلى 9200/tcp على تلك المضيفات التي يفترض أنها تستفسر عن فهرس البحث لديك - يمكن العثور على مزيد من المعلومات حول "مجموعات EC2 الأمنية" هنا: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
بالإضافة إلى هذا، إذا كنت تشغّل إصدارًا سابقًا للإصدار 1.2 من Elasticsearch، فيجب عليك تعطيل دعم تنفيذ النص الديناميكي في Elasticsearch. يمكن العثور على المزيد حول هذا الموضوع هنا: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
إذا كنت تستخدم Elasticsearch في الإنتاج، فإننا نوصيك بتدقيق مجموعاتك الأمنية، وعند الضرورة، اتخاذ الخطوات الملائمة لتقييد الوصول إلى خوادم Elasticsearch الخاصة بك.