29 Mayıs 2014
Elasticsearch (http://www.elasticsearch.org/) açık kaynaklı popüler bir arama sunucusudur. Yakın zamanda, bu yazılımla ilgili iki potansiyel güvenlik sorunundan haberdar olduk. Bunlar AWS ile ilgili sorunlar olmasa da müşterilerimizin bilgi sahibi olarak gerekli adımlarını attığından emin olmak istedik.
İlk sorun, bu yazılımın 1.2 öncesindeki sürümleri için güvenli olmayan bir varsayılan yapılandırma olup CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/) kapsamında açıklanmıştır. Bu güvenli olmayan yapılandırmadan faydalanan saldırganlar, Elasticsearch daemon’un ayrıcalıklarını kullanarak rastgele komutlar çalıştırabilmektedir.
İkinci sorun, Elasticsearch’ün tüm sürümleri için geçerli bir erişim denetiminin olmamasıdır. Arama bağlantı noktasına bağlanabilen herkes, sunucudaki herhangi bir dizini sorgulayabilmekte veya değiştirebilmektedir. Bu sorunlar, Elasticsearch sunucusu tüm internete açık olduğunda ve varsayılan bağlantı noktası olan 9200/tcp üzerinde çalıştırıldığında en büyük riski teşkil etmektedir.
Bu sorunlardan uzak durmanın en etkili yolu, internetteki her konak sunucunun arama sunucularınıza erişemediğinden emin olmaktır. EC2 Güvenlik Grupları’nı kullanarak, 9200/tcp bağlantı noktasına erişimi sadece arama dizininizi sorgulaması gereken konak sunucularla kısıtlayabilirsiniz. EC2 Güvenlik Grupları hakkında daha fazla bilgiye şuradan erişilebilir: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Buna ek olarak, 1.2 öncesi bir Elasticsearch sürümü çalıştırıyorsanız, Elasticsearch’teki dinamik betik yürütme desteğini devre dışı bırakmalısınız. Bu konu hakkında daha fazla bilgiye şuradan erişilebilir: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
Elasticsearch’ü üretim ortamında kullanıyorsanız, güvenlik gruplarınızı denetimden geçirmenizi ve gerekirse Elasticsearch sunucularınıza erişimi kısıtlamak için gerekli adımları izlemenizi öneririz.