Overslaan en naar de inhoud gaan

Zo konden duizenden Elasticsearch-servers ten prooi vallen aan pesterij

Vorige week werden duizenden Elasticsearch-servers slachtoffer van een actie die gericht leek op het zwart maken van het Amerikaanse beveiligingsbedrijf Night Lion Securty. Elastic-beveiligingsspecialist Josh Bressers legt uit hoe dat heeft kunnen gebeuren.
Josh Bressers
© Josh Bressers
Josh Bressers

Een hacker wiste vorige week de data van grote aantallen Elasticsearch-servers en verving die door een nieuwe lege index genaamd nightlionsecurity.com, vermoedelijk een wraakactie. De hacker maakte gebruik van een script dat op internet op zoek ging naar Elasticsearch-servers die zonder de benodigde beveiliging met internet verbonden waren. Het had niets te maken met kwetsbaarheden in de Elasticsearch-software.

Voor de gedupeerde klanten hoefde de hackeractie niet veel gevolgen te hebben, zegt Josh Bressers, Elastic Product Security Lead, die antwoord geeft op vragen van AG Connect hoe het zo mis heeft kunnen gaan. "De impact op gebruikers hangt af van het feit of ze gebruik maken van de industriestandaarden met betrekking tot de backups van hun gegevens. Als ze gebruik maken van de Elasticsearch Service deployment kunnen ze al hun data terugzetten met een geautomatiseerde snapshot backup."

Het zijn echter vermoedelijk niet de klanten die gebruik maken van de premium-dienstverlening die in de problemen zijn gekomen. Bressers benadrukt dat in het geval klanten gebruik maken van de gold, platinum, and enterprise license levels de beveiligingfeatures van de Elasticsearch-servers standaard geactiveerd en geconfigureerd zijn. Er zijn echter ook veel gebruikers van de gratis Basic-variant. "Die bevat wel standaard dezelfde beveiliging maar moet worden geconfigureerd. Als een gebruiker bijvoorbeeld een firewall verkeerd configureert, vergeet de beveiliging op een developmentcluster te herstellen of zelfs per ongeluk de beveiliging van het cluster verkeerd configureert, kunnen problemen ontstaan. Er is echter veel documentatie over hoe je het op de juiste manier doet."

Ongeautoriseerde toegang afgeraden

Ook klanten die gebruik maken van de betaalde versie hebben de mogelijkheid om de beveiliging uit te schakelen. Bressers; "Er zijn talloze manieren om een Elasticsearch-cluster te gebruiken. [Er zijn, red] personen of organisaties die hun installaties zo hebben geconfigureerd dat ongeautoriseerde gebruikers toegang krijgen tot hun data via het internet. Maar wij raden dat af."

Bressers roept klanten die met problemen zitten, op contact op te nemen met zijn team zodat zij hulp kunnen bieden bij het oplossen daarvan.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in