似乎每天我们都阅读了另一篇文章关于云存储的数据漏洞或泄漏,暴露数百万用户数据。

不幸的事实是,大多数此类泄露不需要攻击者进行实际的“黑客操作”。在大多数情况下,这些高度机密的数据只是放在开放的数据库中,等待挑选。
在网上发现数据泄露太容易了,特别是在云服务中,这说明了很多关于安全状况和网络攻击准备的问题——我们还有很长的路要走。

继续我之前讨论过的关于不安全云基础设施的系列AWS.PACS.,我将详细介绍弹性服务器。具体来说,我将介绍一些我发现的常见配置错误的案例,这些错误导致打开后门,从而暴露了许多个人数据记录。

公开数据库使用搜索

在详细介绍弹性服务器中意外发现的后门之前,让我们先看看在网上找到这些暴露的数据库有多容易。

虽然这种发现阶段有几十个工具和方法,但是对于本演示而言,我使用了Shodan.,一个用于爬网用于互联网连接设备的搜索引擎。

让我们做一个快速的实验,看看它是否产生结果。在Elastic数据库上快速谷歌搜索,我们了解默认收听端口9200的弹性数据库。

从那里,我们打开shodan,然后搜索:
弹性口:9200

这将基本上提出了在端口9200上响应服务的IPS,其内容包含“弹性”。百分之九十九个时间,这将提出弹性搜索服务器。

为了全面理解,我将用10秒的时间介绍如何使用弹性搜索API。

以下列方式可以将弹性与MySQL进行比较:

mysql. 松紧带
数据库 指数
桌子 类型
记录 - 列和行 具有属性的文档

以下是一些帮助您导航任何弹性实例的键命令。第一个是/ _cat命令,第二个是/ _search ? = true。
Cat命令只列出了信息,并且了解您必须使用的索引或字段是一个很好的起点。

弹性服务器

跳入Shodan,我们开始搜索Elastic数据库。

让我们选择从Shodan查询出现的随机IP。在这种情况下,它是驻留在中国的服务器:https://www.shodan.io/host/47.104.101.159#9200

我们可以通过打字来检查它是否对世界开放:http://47.104.101.159:9200/_CAT/

这会带来以下结果:

似乎到目前为止还没有认证。让我们通过输入来看看这里有什么索引/ _cat / indices,这为我们提供了以下结果:

到现在为止还挺好。很明显,目前我们不太可能面临任何阻止我们访问数据的身份验证。现在我们可以列出其中一个指数的内容,类似于aSelect * from TABLE_NAME在sql。让我们随机选择一个,KMS_NEWS.,它看起来有37个记录。

我们类型http://47.104.101.159:9200/DZKJ_NEWS/_SEARCH ?pretty=true.
和瞧!所有数据都毫无努力地吐出来。

正如您所看到的,它很容易在线查​​找随机弹性服务器中的暴露数据。在不到一分钟内,我们找到了一个公开的服务器,可以继续抛弃所有数据。我确定如果我们花了更多时间,我们会发现一个具有更严重泄漏的数据库。

毕竟有一个原因,这些数据库已经收到了如此多的压力,以便他们的臭虫泄漏。

后门

现在让我们进入正题……导致后门的错误配置。

随着弹性,你经常听到Kibana这个词。这基本上是GUI前端到弹性数据库,允许您浏览/搜索数据并配置弹性实例的结构和细节。

因此,公司在前提下拥有内部弹性DB是常见的,并暴露Kibana前端,以便员工可以从他们的Web浏览器中访问数据,完全认证。在这种情况下,Kibana服务器可以侦听端口5601,向Internet打开,并将从公司本地Intranet的内部弹性DB访问数据。

合适的配置

那么后门谎言在哪里?好吧,在在线完成令人遗憾地搜索各种Kibana服务器之后,我注意到大量结果发生了一些令人搞笑的。

我会浏览到Kibana实例并按照预期接收登录屏幕,但在使用相同IP上使用NMAP进行端口扫描后,我注意到熟悉的端口正在打开:

臭名昭着的9200!

具体而言,我在五分钟内发现了20多台服务器,同样的错误配置。这里发生了什么是管理员设置弹性搜索,并决定允许通过Kibana前端访问,限制通过适当的身份验证。然而,问题是端口9200上的实际数据存储不仅仅是在内部通信。它也暴露在互联网上,允许后门直接从任何想要看起来都执行的弹性查询的数据,就像我们在上面的例子一样。

下面是一个显示错误配置的插图,这应该会使它更加清楚。

找到暴露于公众的端口9200并不意味着里面会有一些值。然而,这两个端口的结合仅在Kibana上暴露和限制访问,几乎保证了公司希望保密的数据。

弹性准备快

弹性可能是在线泄露数据的头号来源,在进行了这项研究后,我将其归因于它是多么容易配置错误。当然,重点是9200上的内部服务器和5601上面向公众的组件之间的关系。

本文的目的不是讨论某个特定的公司,也不是要炮轰任何泄露公共数据的人。相反,我希望解释有多少服务器在互联网上与这个后门。有成千上万的弹性服务器向公众开放并公开数据——这并不是什么新鲜事。这些特殊情况的独特之处在于,显然有人试图合并某种类型的安全性,然而,平台显然被误解了。

因为弹性搜索是一个常用的云数据库,所以重要的是要突出显示这个特定的错误配置,因为它很容易固定。

发现暴露的数据既不是由于1337黑客入侵的结果,也不是很难发现的辅助渠道。希望这可以帮助使用弹性的管理员更好地理解默认值的危险,对于安全分析师来说,这有望为研究新的云基础设施提供一些有用的信息。

在本系列中保持关注下一篇文章,其中我将涵盖弹性的各种泄漏的细节。