29 maggio 2014
Elasticsearch (http://www.elasticsearch.org/) è un popolare server di ricerca open source. Di recente, siamo stati informati di due potenziali problemi di sicurezza di questo software. Sebbene questi problemi non riguardino direttamente AWS, desideriamo assicurarci che i nostri clienti ne siano al corrente affinché possano adottare le misure adeguate.
Il primo problema riguarda una configurazione predefinita non sicura per le versioni precedenti alla 1.2 di questo software, come descritto in CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/). I malintenzionati che approfittano di questa configurazione non sicura possono eseguire arbitrariamente dei comandi con i privilegi del daemon Elasticsearch.
Il secondo problema consiste nella mancanza di controllo sugli accessi che riguarda tutte le versioni di Elasticsearch. Chiunque possa collegarsi alla porta di ricerca è in grado di interrogare o modificare qualsiasi indice sul server. Questi problemi creano i rischi maggiori quando un server Elasticsearch è aperto a tutto Internet ed è eseguito sulla porta predefinita, 9200/tcp.
Il modo più efficace per evitare questi problemi è assicurarsi che i tuoi server di ricerca non siano raggiungibili da tutti gli host su Internet. Puoi utilizzare i gruppi di sicurezza di EC2 per limitare l'accesso alla porta 9200/tcp esclusivamente agli host autorizzati all'interrogazione del tuo indice di ricerca. Qui puoi trovare maggiori informazioni sui gruppi di sicurezza di EC2: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Inoltre, se esegui una versione di Elasticsearch precedente alla 1.2, ti consigliamo di disabilitare il supporto per l'esecuzione degli script dinamici in Elasticsearch. Maggiori informazioni in merito sono disponibili qui: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
Se utilizzi Elasticsearch in produzione, ti consigliamo di verificare i tuoi gruppi di sicurezza e, se necessario, di adottare adeguate misure per limitare l'accesso ai tuoi server Elasticsearch.