Elastic 인증 취약점
1. 점검 개요
취약점 진단 대상 : ealsticsearch 기반 XX 서비스 취약점 분석 및 모의해킹
2. 취약점 점검 결과 요약
1) A05: Security Misconfiguration (보안 설정 오류)
elasticsearch API 서비스 PORT 9200 외부 ANY 오픈
2) A07: Identification and Authentication Failures(식별 및 인증 실패)
elasticsearch 사용자 인증 미설정
약 20여대 XX 서비스 서버 동일 취약점 발견
3. 점검 상세 내용
1) 엘라스틱 접근 통제 미흡
2) message 및 대화 내용 등이 저장되는 엘라스틱 서비스 접근통제 미흡 취약점 발견
3) 인증 없이 Elastic API Port 9200 접속
4) 외부 서버 Linux shell curl 실행 -> 모든 elastic 정보 노출
curl http://11x.11x.11x.11x:9200/_cat/health?v
curl http://11x.11x.11x.11x:9200/_cat/nodes?v
엘라스틱 index (DB) 노출
message 내용 및 대화 내용등 민감 정보 노출 상태
curl http://11.11x.11x.xx:9200/xxxxx_vvvv/_search?pretty=true?q=*
4. 점검 결과 요약
1) elasticsearch API 9200 포트가 외부에 ANY 오픈상태
2) 인증 과정 없이 curl 명령어로 Elastic API 호출로 Elastic 관리자 권한의 모든 행위 가능
3) GET, POST, PUT, DELETE 등 모든 method 사용 가능
4) message 정보, 대화 내용등 민감 정보 유출 가능 상태
5. 권고 사항 및 개선 조치 사항
1) elastic API 접근 페이지 접근 통제 강화
2) 외부에 ANY 오픈된 9200 포트 차단
3) 부득이한 사유로 오픈 필요시 Elastic 서비스 사용자 인증 구조로 필수 변경
모의해킹 취약점 분석 사례 더보기
'SECURITY/모의해킹 취약점분석' 카테고리의 글 목록
정보 지식 공유와 나눔으로 상생의 가치 실현해요 ^^
rootkey.tistory.com
본 포스팅은 실제 모의해킹/취약점 분석 사례를 기반으로 작성되었으며
취약점에 대해 모든 보완 조치가 완료된 상태입니다.
민감 정보는 모두 마스킹(가림처리) 처리로 대상 조직에 어떠한 불이익도 없음을 명시합니다.
사이버 보안 업계 종사자나 보안 꿈나무들에게 조금이나마 도움이 되고자 작성한 글이며
악의적, 상업적 용도의 사용 및 가공은 자제 부탁드립니다.
