29 Mei 2014
Elasticsearch (http://www.elasticsearch.org/) adalah server pencarian sumber terbuka yang populer. Kami baru saja menyadari dua potensi masalah kemanan pada perangkat lunak ini. Walau ini tidak berdampak pada AWS, kami ingin memastikan bahwa pelanggan kami mengetahui hal ini sehingga mereka dapat mengambil langkah yang tepat.
Masalah pertama adalah konfigurasi default tidak aman untuk versi perangkat lunak ini sebelum 1.2, tertera dalam CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/). Penyerang yang memanfaatkan konfigurasi tidak aman ini dapat menjalankan perintah arbitrer dengan hak istimewa daemon Elasticsearch.
Masalah kedua adalah kurangnya kontrol akses yang berlaku di seluruh versi Elasticsearch. Siapa pun yang dapat terhubung ke port pencarian dapat membuat kueri atau mengubah indeks apa pun pada server. Masalah ini menimbulkan risiko yang lebih besar saat server Elasticsearch terbuka bagi seluruh Internet dan dijalankan di port default, 9200/tcp.
Cara yang paling efektif untuk menghindari masalah ini adalah dengan memastikan bahwa server pencarian Anda tidak dapat dijangkau oleh setiap host di Internet. Anda dapat menggunakan Grup Keamanan EC2 untuk membatasi akses ke 9200/tcp sehingga hanya host tersebut yang seharusnya membuat kueri indeks pencarian Anda - informasi lebih lanjut tentang Grup Keamanan EC2 dapat ditemukan di sini: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Selain itu, jika Anda menjalankan versi Elasticsearch sebelum 1.2, Anda harus menonaktifkan dukungan eksekusi skrip dinamis di Elasticsearch. Informasi lebih lanjut tentang hal ini dapat ditemukan di sini: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
Jika Anda menggunakan Elasticsearch dalam produksi, kami menganjurkan agar Anda mengaudit grup keamanan dan, jika diperlukan, mengambil langkah yang tepat untuk membatasi akses ke server Elasticsearch Anda.