Beschrijving
Dit verslag identificeert hosts die over Elasticsearch beschikken en die toegankelijk zijn via het internet. Op zichzelf ondersteunt Elasticsearch geen authenticatie of beperkt het de toegang tot de databank niet, dus het is mogelijk dat elke entiteit die toegang heeft tot de Elasticsearch-instance de volledige controle heeft om ermee te doen wat ze wil. De probe die we gebruiken is een "GET / HTTP/1.1" die naar poort 9200/tcp wordt gestuurd.
Beoordeling
De elementen in dit verslag zijn hosts die over een Elasticsearch-dienst beschikken die is blootgesteld aan het internet. Er zijn tal van manieren om misbruik te maken van deze dienst. De dienst vereist geen authenticatie, dus elke niet-geauthentiseerde aanvaller kan misbruik maken van de dienst. Daarnaast vertoont de dienst bekende kwetsbaarheden. Door een HTTP verbinding te maken met de dienst (TCP/9200) krijgt iedereen de versie van Elasticsearch te zien, waardoor het eenvoudig is om kwetsbaarheden te identificeren. De waarschijnlijkheid van een dergelijke aanval is groot omdat de dienst op een bekende poort draait en Elasticsearch nuttige informatie levert aan elke niet-geauthentiseerde aanvaller. De impact is groot, omdat het exploiteren van een niet-gepatchte Elasticsearch-service kan resulteren in een Remote Code Execution. Het globale risico is hoog.
Aanbevelingen
- Beperk de toegang tot de databaseserver tot de interne netwerken.
- Als toegang op afstand noodzakelijk is, gebruik dan een VPN of schakel ten minste de authenticatie in en zorg ervoor dat er sterke wachtwoorden worden gebruikt.
Referenties
Shadow Server – Elasticsearch Scanning Project
CVE details – Elasticsearch