2014 年 5 月 29 日
Elasticsearch (http://www.elasticsearch.org/) は、人気のあるオープンソース検索サーバーです。AWS は最近、このソフトウェアに関する 2 つの潜在的なセキュリティ問題を認識しました。これらは AWS の問題ではありませんが、お客様が確実に認識し、適切な措置を講じられるようにしたいと思いました。
最初の問題は、1.2 より前のこのソフトウェアのバージョンの安全でないデフォルト設定です。これは、CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/) に概説されています。攻撃者はこの安全でない設定を利用し、Elasticsearch デーモンの権限で任意のコマンドを実行できます。
2 番目の問題は、Elasticsearch のすべてのバージョンに適用されるアクセス制御の欠如です。検索ポートに接続できるユーザーは誰でも、サーバー上のインデックスをクエリまたは変更できます。Elasticsearch サーバーがインターネット全体に対して開かれており、デフォルトポート 9200/tcp で実行されている場合、これらの問題は非常に大きなリスクをもたらします。
このような問題を回避する最も効果的な方法は、インターネット上のどのホストからも検索サーバーに到達できないようにすることです。EC2 セキュリティグループを使用して、9200/tcp へのアクセスを、検索インデックスをクエリする必要があるホストのみに制限できます。EC2 セキュリティグループの詳細については、次を参照してください。http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
さらに、1.2 より前のバージョンの Elasticsearch を実行している場合は、Elasticsearch の動的スクリプト実行サポートを無効にする必要があります。詳細については、こちらをご覧ください。http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
本番環境で Elasticsearch を使用している場合は、セキュリティグループを監査し、必要に応じて適切な手順を実行して Elasticsearch サーバーへのアクセスを制限することをお勧めします。