Elastic 인증 취약점
1. 점검 개요
취약점 진단 대상 : ealsticsearch 기반 XX 서비스 취약점 분석 및 모의해킹
2. 취약점 점검 결과 요약
1) A05: Security Misconfiguration (보안 설정 오류)
elasticsearch API 서비스 PORT 9200 외부 ANY 오픈
2) A07: Identification and Authentication Failures(식별 및 인증 실패)
elasticsearch 사용자 인증 미설정
약 20여대 XX 서비스 서버 동일 취약점 발견
3. 점검 상세 내용
1) 엘라스틱 접근 통제 미흡
2) message 및 대화 내용 등이 저장되는 엘라스틱 서비스 접근통제 미흡 취약점 발견
3) 인증 없이 Elastic API Port 9200 접속
4) 외부 서버 Linux shell curl 실행 -> 모든 elastic 정보 노출
curl http://11x.11x.11x.11x:9200/_cat/health?v
curl http://11x.11x.11x.11x:9200/_cat/nodes?v
엘라스틱 index (DB) 노출
message 내용 및 대화 내용등 민감 정보 노출 상태
curl http://11.11x.11x.xx:9200/xxxxx_vvvv/_search?pretty=true?q=*
4. 점검 결과 요약
1) elasticsearch API 9200 포트가 외부에 ANY 오픈상태
2) 인증 과정 없이 curl 명령어로 Elastic API 호출로 Elastic 관리자 권한의 모든 행위 가능
3) GET, POST, PUT, DELETE 등 모든 method 사용 가능
4) message 정보, 대화 내용등 민감 정보 유출 가능 상태
5. 권고 사항 및 개선 조치 사항
1) elastic API 접근 페이지 접근 통제 강화
2) 외부에 ANY 오픈된 9200 포트 차단
3) 부득이한 사유로 오픈 필요시 Elastic 서비스 사용자 인증 구조로 필수 변경