备注:本文重在检测合修复,适合甲方人员查阅
漏洞简介
Elasticsearch使用JAVA语言开发并作为Apache许可条款下的开放源码发布,它是当前流行的企业级搜索引擎,其增删改查操作全部由HTTP接口完成,如果Elasticsearch服务直接披露在公网环境中且未对服务访问端口(默认;9200)进行认证配置(Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞),则攻击者可以拥有Elasticsearch的所有权限,之后对数据进行任意操作,业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索。
漏洞成因
Elasticsearch未授权访问漏洞的成因主要有以下几个方面:
- Elasticsearch服务披露在公网且允许远程访问
- Elasticsearch服务端口(默认:9200)未设置认证
漏洞利用
环境介绍
- 目标靶机:Ubuntu
- 目标地址:192.168.17.154
环境搭建
Step 1:JDK版本1.8
Step 2:创建一个elasticsearch用户,elasticsearch不能root执行
代码语言:javascript复制useradd al1ex
passwd al1ex
su al1ex
Step 3:下载环境并进行安装
代码语言:javascript复制#下载安装包
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.0-linux-x86_64.tar.gz
#解压安装包
tar -xzf elasticsearch-7.10.0-linux-x86_64.tar.gz
Step 4:编辑elasticsearch-7.10.0/config/elasticsearch.yml,修改以下内容
a、编辑node.name 名称
b、数据存储和日志存储路径放开注释
代码语言:javascript复制path.data: /home/r00t/elasticsearch-7.10.0/data
path.logs: /home/r00t/elasticsearch-7.10.0/logs
c、设置IP限制、端口设置、跨越设置
代码语言:javascript复制network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true
http.cors.allow-origin: "*"
d、设置启动服务器的标识符
代码语言:javascript复制cluster.initial_master_nodes: ["node-1"]
Step 5、修改al1ex用户的可创建文件描述权限,使用命令"vim /etc/security/limits.conf"编辑文件,在最后面追加如下内容:
代码语言:javascript复制* hard nofile 65536
* soft nofile 65536
Step 6:通过命令"vim /etc/sysctl.conf'修改用户可以拥有的VMA的数量,在最后面追加如下内容
代码语言:javascript复制#fs.protected_symlinks=0
vm.max_map_count=655360
Step 9:设置文件权限
代码语言:javascript复制chown -R al1ex /home/r00t/elasticsearch-7.10.0/
Step 10:使用al1ex用户启动服务并访问
代码语言:javascript复制./elasticsearch-7.10.0/bin/elasticsearch -d
漏洞检测
检测方式1:浏览器访问
代码语言:javascript复制#基本检测
http://192.168.17.154:9200/
代码语言:javascript复制#查看节点数据
http://192.168.17.154:9200/_nodes
修复方法
编辑config/elasticsearch.yml文件,在其中为9200端口设置认证
代码语言:javascript复制#开启开关接管全部HTTP连接
http.basic.enabled: true
#设置账号密码
http.basic.user: "admin"
http.basic.password: "admin_pw"
#开启白名单
http.basic.ipwhitelist: ["localhost", "127.0.0.1"]
之后再次访问可以看到无法访问:
白名单地址可访问,但是笔者这里未安装plugin所以也会报错,有条件企业的可以试试安装plugin试试