www.belgium.be Logo of the federal government

Description

Ce rapport identifie des hôtes disposant d’Elasticsearch qui sont accessibles depuis Internet. En tant que tel, Elasticsearch ne prend pas en charge l'authentification ou ne restreint pas l'accès à la base de données. Il est donc possible que toute entité pouvant accéder à l'instance Elasticsearch en obtienne le contrôle total pour en faire ce qu’elle désire. La requête que nous utilisons est un « GET / HTTP/1.1 », envoyé sur le port 9200 en TCP.

Évaluation

Les entrées de ce rapport correspondent à des hôtes disposant d’un service Elasticsearch exposé à Internet. Il existe de multiples façons d'abuser de ce service, comme il ne requiert pas d’authentification, tout pirate informatique non authentifié peut tenter d’y accéder. En outre, le service présente des vulnérabilités connues. Il suffit d’essayer de se connecter via HTTP au service (TCP/Port 9200), afin de tenter de découvrir la version d'Elasticsearch installée, ce qui permet d'identifier facilement les vulnérabilités exploitables. La probabilité d’une telle attaque est élevée car le service fonctionne sur un port bien connu et Elasticsearch fournit des informations utiles nativement à tout utilisateur non authentifié. L'impact est élevé car l'exploitation d'un service Elasticsearch non patché pourrait entraîner une « Remote Code Execution ». Le risque global est élevé.

    Recommandations

    • Restreindre aux réseaux internes l'accès au serveur de la base de données.
    • Si un accès à distance est nécessaire : il est conseillé d’utiliser un VPN, d’activer l’authentification [2] et veiller à utiliser des mots de passe complexes.
    • Il est également conseillé de toujours mettre à jour Elastic Stack à la dernière version disponible.

    Références

    Shadow Server – Elasticsearch Scanning Project

    CVE details – Elasticsearch