29/05/2014
Elasticsearch (http://www.elasticsearch.org/) là một máy chủ tìm kiếm nguồn mở phổ biến. Gần đây, chúng tôi đã để ý đến 2 sự cố bảo mật có thể xảy ra với phần mềm này. Dù đây không phải là những sự cố của AWS, chúng tôi muốn đảm bảo rằng khách hàng của mình sẽ biết để có thể kịp thời thực hiện các biện pháp phù hợp.
Sự cố đầu tiên là cấu hình mặc định không bảo mật đối với các phiên bản trước 1.2 của phần mềm này, như đã trình bày trong CVE-2014-3120 (http://bouk.co/blog/elasticsearch-rce/). Những kẻ tấn công lợi dụng cấu hình bảo mật này có thể chạy các lệnh tùy ý với các đặc quyền của trình nền Elasticsearch.
Sự cố thứ hai là thiếu các phép kiểm soát quyền truy cập, áp dụng cho mọi phiên bản Elasticsearch. Bất kỳ ai kết nối được vào cổng tìm kiếm này đều có thể truy vấn hoặc sửa đổi mọi chỉ mục trên máy chủ. Những sự cố này chứa nguy cơ cực lớn khi máy chủ Elasticsearch mở cho toàn bộ Internet và chạy trên cổng mặc định là 9200/tcp.
Cách hữu hiệu nhất để tránh những sự cố này là đảm bảo rằng không phải host nào trên Internet cũng tiếp cận được các máy chủ tìm kiếm của bạn. Bạn có thể dùng Nhóm bảo mật EC2 để giới hạn quyền truy cập vào cổng 9200/tcp, chỉ cho phép các host đang truy vấn chỉ mục tìm kiếm của bạn. Để tìm hiểu thêm thông tin về Nhóm bảo mật EC2, hãy truy cập vào: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Bên cạnh đó, nếu đang chạy phiên bản trước 1.2 của Elasticsearch, bạn nên tắt tính năng hỗ trợ chạy tập lệnh động trong Elasticsearch. Để tìm hiểu thêm, hãy truy cập vào đây: http://bouk.co/blog/elasticsearch-rce/#how_to_secure_against_this_vulnerability
Nếu đang sử dụng Elasticsearch chính thức, bạn nên kiểm tra các nhóm bảo mật và nếu cần, hãy thực hiện các biện pháp phù hợp để giới hạn quyền truy cập vào các máy chủ Elasticsearch của mình.