29. Mai 2014
Elasticsearch (http://www.elasticsearch.org/) ist ein beliebter Open-Source-Suchserver. Wir wurden kürzlich auf zwei potenzielle Sicherheitsprobleme mit dieser Software aufmerksam gemacht. Dabei handelt es sich zwar nicht um Probleme von AWS, doch wir möchten sicherstellen, dass unsere Kunden davon wissen, damit sie die erforderlichen Schritte ergreifen können.
Das erste Problem ist eine unsichere Standardkonfiguration für Versionen dieser Software vor 1.2, beschrieben in CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/). Angreifer, die diese unsichere Konfiguration ausnutzen, können willkürliche Befehle mit den Privilegien des Elasticsearch-Daemon ausführen.
Das zweite Problem ist mangelnde Zugriffskontrolle, wovon alle Versionen von Elasticsearch betroffen sind. Jeder, der eine Verbindung zum Suchport aufbauen kann, kann jeden Index auf dem Server anfragen oder verändern. Diese Probleme sind am gefährlichsten, wenn ein Elasticsearch-Server für das gesamte Internet zugänglich ist und auf dem Standardport 9200/tcp ausgeführt wird.
Die effektivste Methode zum Verhindern dieser Probleme besteht darin, sicherzustellen, dass Ihre Suchserver nicht von jedem Host im Internet erreicht werden können. Sie können EC2-Sicherheitsgruppen verwenden, um den Zugriff auf 9200/tcp auf die Hosts zu beschränken, die Ihren Suchindex auch abfragen sollten – weitere Informationen zu EC2-Sicherheitsgruppen finden Sie hier: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Wenn Sie eine Elasticsearch-Version vor 1.2 verwenden, sollten Sie die Unterstützung für die dynamische Skriptausführung in Elasticsearch deaktivieren. Weitere Informationen dazu finden Sie hier: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
Wenn Sie Elasticsearch in der Produktion verwenden, dann empfehlen wir Ihnen, Ihre Sicherheitsgruppen zu überprüfen und bei Bedarf geeignete Schritte zu ergreifen, um den Zugriff auf Ihre Elasticsearch-Server einzuschränken.