В отчете подчеркиваются опасности для кибербезопасности, связанные с ошибками внедрения Elastic Stack

А новый отчет выявил значительные уязвимости, возникающие в результате неправильной реализации Elastic Stack, группа продуктов с открытым исходным кодом, использующих API для агрегирования критически важных данных, поиска и анализа. возможности.

Исследователи из информационная безопасность Фирма Salt Security обнаружила проблемы, которые позволяли им не только запускать атаки, при которых любой пользователь мог извлечь конфиденциальную информацию. данные клиента и системы, но также позволяло любому пользователю создавать условие отказа в обслуживании, которое могло бы сделать систему недоступен.

Исследователи заявили, что впервые обнаружили уязвимость, защищая одного из своих клиентов, крупную интернет-компанию. платформа «бизнес для потребителя», которая предоставляет мобильные приложения и программное обеспечение на основе API в качестве услуги миллионам пользователей по всему миру. пользователи.

Обнаружив уязвимость, они проверили других клиентов, использующих Elastic Stack, и обнаружили, что почти каждое предприятие с ним было затронуто уязвимостью, которая подвергала пользователей атакам путем внедрения и более.

Представители Salt Security сразу отметили, что это не уязвимость самого Elastic Stack, а проблема в том, как он реализуется. Технический евангелист Salt Security Майкл Исбитски заявил, что уязвимость не связана с какими-либо проблемами в программном обеспечении Elastic, а связана с «обычной рискованной настройкой реализации пользователями».

Он отметил, что Эластик дает рекомендации о том, как безопасно реализовать экземпляры Elastic Stack, но отметил, что ответственность за использование руководства ложится на практикующих специалистов.

«Недостаточная осведомленность о потенциальных неправильных конфигурациях, неправильных реализациях и кластерах воздействие – это в значительной степени проблема сообщества, которую можно решить только посредством исследований и образования», Исбицкий рассказал ЗДНет.

«Elastic Stack — далеко не единственный пример проблемы реализации такого типа, но компания может помочь в обучении своих пользователей так же, как работает Salt Security. с директорами по информационной безопасности, архитекторами безопасности и другими специалистами по безопасности приложений, чтобы предупредить их об этой и других уязвимостях API и обеспечить наилучшие меры по их устранению. практики».

Джош Брессерс, руководитель отдела безопасности продуктов Elastic, рассказал: ЗДНет что надлежащая безопасность данных является сложной задачей, особенно с учетом того, что скорость разработки постоянно растет.

«Любой, кто использует платформы баз данных с открытым кодом, такие как Elasticsearch, иногда случайно неправильно сконфигурировать базу данных, чтобы данные были доступны через Интернет», — сказал Брессерс. призывая пользователей воспользоваться советом компании о том, как обеспечить безопасность вещей.

«Elastic очень старается, чтобы разработчикам было проще обеспечить безопасность при использовании наших продуктов. Мы открыли X-Pack в 2018 году, чтобы бесплатно предоставить функции безопасности всем пользователям. Мы продолжаем добавлять в стек функции безопасности, такие как оповещения системы безопасности, когда пользователи не используют бесплатные встроенные функции безопасности».

Уязвимость, обнаруженная исследователями Salt Security, позволит злоумышленнику злоупотребить отсутствием авторизация между front-end и back-end сервисами как способ получить рабочую учетную запись пользователя с базовыми уровни разрешений.

Оттуда киберзлоумышленник может затем украсть конфиденциальные пользовательские и системные данные, сделав «обоснованные предположения». о схеме серверных хранилищ данных и запросе данных, к которым у них нет доступа», — согласно отчет.

Генеральный директор Salt Security Рой Элияху заявил, что, хотя Elastic Stack широко используется и безопасен, одни и те же ошибки архитектурного проектирования наблюдаются практически во всех средах, где он используется.

«Уязвимость Elastic Stack API может привести к раскрытию конфиденциальных данных, которые могут быть использованы для продолжения серьезного мошенничества и злоупотреблений, создавая существенный бизнес-риск», — сказал Элияху.

По данным Salt Security, эксплойты, использующие эту уязвимость Elastic Stack, могут создать «каскад угроз API». исследователи, которые также показали, что недостатки реализации конструкции Elastic Stack значительно ухудшаются, когда злоумышленник объединяет множество эксплойтов.

Проблема заключалась в том, что исследователи безопасности уже давно подчеркнули с рядом аналогичных продуктов, таких как MongoDB и HDFS.

«Конкретные запросы, отправленные к серверным службам Elastic, используемым для использования этой уязвимости, трудно проверить. Этот случай показывает, почему архитектура имеет значение для любого устанавливаемого вами решения по обеспечению безопасности API — вам нужна возможность фиксировать существенный контекст использования API с течением времени», — сказал Исбитски.

«Это также показывает, насколько важно правильно спроектировать среду приложений. Каждая организация должна оценить интеграцию API между своими системами и приложениями, поскольку они напрямую влияют на состояние безопасности компании».

Исследователи из компании заявили, что им удалось получить доступ к конфиденциальным данным, таким как номера счетов, номера подтверждений транзакций и другой информации, которая нарушает правила GDPR.

В отчете подробно описаны другие действия, которые можно предпринять с помощью уязвимости, включая возможность совершать различные мошеннические действия, вымогать средства, красть личные данные и захватывать управление Счета.

Джон Гейнс, старший консультант по безопасности приложений в nVisium, сказал, что Elastic Stack «печально известен» за чрезмерное раскрытие данных» и добавил, что несколько лет назад — и по умолчанию — данные были раскрыты публично. С тех пор значения по умолчанию изменились, но он отметил, что это не означает, что более старые версии не поддерживаются. унаследовано или что незначительные изменения конфигурации не могут привести к обоим этим недавно обнаруженным уязвимости.

«Существует и существовало множество инструментов с открытым исходным кодом, которые привели к обнаружению этих уязвимостей, которые я использовал ранее и продолжаю использовать. К сожалению, технический барьер этих уязвимостей крайне низок. В результате риск того, что злоумышленник обнаружит и воспользуется этими уязвимостями, высок», — сказал Гейнс.

«Если посмотреть со стороны, эти уязвимости представляют собой здравый смысл для специалистов по безопасности, авторизацию, ограничения скорости, аннулирование, параметризованные запросы и так далее. Однако, как хранителя данных, администратора или даже разработчика, вас часто не учат разрабатывать и поддерживать с учетом безопасности».

Генеральный директор Vulcan Cyber ​​Янив Бар-Даян добавил, что наиболее распространенная уязвимость в облаке вызвана человеческими ошибками и неправильными настройками, и API не застрахованы.

«Мы все видели, как раскрытые данные клиентов и атаки типа «отказ в обслуживании» наносят значительный материальный ущерб взломанным целям. Эксплуатации этой уязвимости можно избежать, но ее необходимо быстро устранить», — сказал Бар-Даян.

«Другие пользователи Elastic Stack должны проверить свои собственные реализации на наличие этой неправильной конфигурации и не повторять ту же ошибку».