『安全』Elasticsearch 入侵事件通告

Posted 2021-04-21 青云QingCloud

继前一段时间曝出大规模利用 之后，又曝出大规模利用 Elasticsearch 配置漏洞进行入侵的事件。

这是 Elasticsearch 攻击者发来的一封典型勒索信。

图片来源：Itamar Syn-Hershko

该入侵会给用户的 Elasticsearch 数据造成安全风险，请可能被漏洞影响的用户仔细阅读本文，并做相应的处理。

容易遭受入侵的环境：

用户自建的未配置安全验证的 Elasticsearch 服务，并在公网上开放了 Elasticsearch 端口，例如 9200。或者通过端口转发，将青云QingCloud 提供的 Elasticsearch 服务的端口通过路由器、VPC 转发，曝露到公网。

入侵现象：

• Elasticsearch 数据被清空。
  

• 留信息勒索比特币。
  

修复办法：

• 禁止公网开放 Elasticsearch 端口，例如可以在青云QingCloud 防火墙上禁用 Elasticsearch 的端口，例如 9200。
  

• 如果对 Elasitcsearch 的端口在路由器、VPC 上进行了端口转发，请删除该转发规则。

温馨提示：

青云QingCloud 提供的 Elasticsearch 服务是运行在私有网络中的，如果用户没有主动设置端口转发将 Elasticsearch 端口在公网曝露，不会受到该漏洞的影响，请用户放心使用。

另外，有任何其他问题可以工单与我们联系。

- FIN -