Zo konden duizenden Elasticsearch-servers ten prooi vallen aan pesterij
Vorige week werden duizenden Elasticsearch-servers slachtoffer van een actie die gericht leek op het zwart maken van het Amerikaanse beveiligingsbedrijf Night Lion Securty. Elastic-beveiligingsspecialist Josh Bressers legt uit hoe dat heeft kunnen gebeuren.
© Josh Bressers
Josh Bressers
Een hacker wiste vorige week de data van grote aantallen Elasticsearch-servers en verving die door een nieuwe lege index genaamd nightlionsecurity.com, vermoedelijk een wraakactie. De hacker maakte gebruik van een script dat op internet op zoek ging naar Elasticsearch-servers die zonder de benodigde beveiliging met internet verbonden waren. Het had niets te maken met kwetsbaarheden in de Elasticsearch-software.
Voor de gedupeerde klanten hoefde de hackeractie niet veel gevolgen te hebben, zegt Josh Bressers, Elastic Product Security Lead, die antwoord geeft op vragen van AG Connect hoe het zo mis heeft kunnen gaan. "De impact op gebruikers hangt af van het feit of ze gebruik maken van de industriestandaarden met betrekking tot de backups van hun gegevens. Als ze gebruik maken van de Elasticsearch Service deployment kunnen ze al hun data terugzetten met een geautomatiseerde snapshot backup."
Het zijn echter vermoedelijk niet de klanten die gebruik maken van de premium-dienstverlening die in de problemen zijn gekomen. Bressers benadrukt dat in het geval klanten gebruik maken van de gold, platinum, and enterprise license levels de beveiligingfeatures van de Elasticsearch-servers standaard geactiveerd en geconfigureerd zijn. Er zijn echter ook veel gebruikers van de gratis Basic-variant. "Die bevat wel standaard dezelfde beveiliging maar moet worden geconfigureerd. Als een gebruiker bijvoorbeeld een firewall verkeerd configureert, vergeet de beveiliging op een developmentcluster te herstellen of zelfs per ongeluk de beveiliging van het cluster verkeerd configureert, kunnen problemen ontstaan. Er is echter veel documentatie over hoe je het op de juiste manier doet."
Ongeautoriseerde toegang afgeraden
Ook klanten die gebruik maken van de betaalde versie hebben de mogelijkheid om de beveiliging uit te schakelen. Bressers; "Er zijn talloze manieren om een Elasticsearch-cluster te gebruiken. [Er zijn, red] personen of organisaties die hun installaties zo hebben geconfigureerd dat ongeautoriseerde gebruikers toegang krijgen tot hun data via het internet. Maar wij raden dat af."
Bressers roept klanten die met problemen zitten, op contact op te nemen met zijn team zodat zij hulp kunnen bieden bij het oplossen daarvan.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee