29 de mayo de 2014
Elasticsearch (http://www.elasticsearch.org/) es un servidor de búsqueda de código abierto popular. Recientemente, hemos tomado conocimiento de dos posibles problemas de seguridad con este software. Si bien estos problemas no corresponden a AWS, queríamos asegurarnos de que nuestros clientes estuviesen al tanto de ellos de manera de poder tomar las acciones apropiadas.
El primer problema es una configuración predeterminada insegura para las versiones de este software anteriores a la 1.2, que se especifica en las CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/). Los atacantes que aprovechen esta configuración insegura pueden ejecutar comandos arbitrarios con los privilegios del daemon de Elasticsearch.
El segundo problema es una falta de control de acceso que afecta a todas las versiones de Elasticsearch. Cualquier persona que se pueda conectar al puerto de búsqueda puede consultar o cambiar cualquier índice del servidor. Estos problemas constituyen el mayor riesgo cuando un servidor de Elasticsearch está abierto a toda Internet y se ejecuta en el puerto predeterminado, 9200/tcp.
La forma más efectiva de evitar estos problemas es asegurándose de que sus servidores de búsqueda no puedan ser alcanzados por todos los hosts de Internet. Puede utilizar los grupos de seguridad de EC2 para restringir el acceso al puerto 9200/tcp a solo aquellos hosts que deberían consultar su índice de búsqueda. Puede obtener más información acerca de los grupos de seguridad de EC2 aquí: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Además, si ejecuta una versión de Elasticsearch anterior a la 1.2, debería deshabilitar la compatibilidad dinámica de ejecución de script en Elasticsearch. Puede encontrar más información acerca de este tema aquí: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
Si utiliza Elasticsearch en la fase de producción, le recomendamos que audite sus grupos de seguridad y, en caso de ser necesario, tome las medidas adecuadas a fin de restringir el acceso a sus servidores de Elasticsearch.