1.安全公告

2019年7月1日,vpnMentor发布了国内深圳的一家提供智能家居管理平台的公司(物联网供应商Orvibo)存在大量数据泄露风险的公告,相关信息链接:

https://www.vpnmentor.com/blog/report-orvibo-leak/

根据公告,存在数据泄露风险的是该公司的Elasticsearch服务器,根据截图显示泄露了有关客户及其设备密码的数据,包括:邮箱、密码、定位地址、IP地址、设备账号等,数据量超过20亿条。除了Elasticsearch,部署在同一服务器上的Kibana也存在数据泄露风险,无密码认证直接读取,攻击者可利用这些泄漏的数据进行任意控制他人的物联网设备。

根据公告更新,厂商在7月2日对该数据接口做了加固处理。

通过ZDNet发布的公告,截图显示泄露数据方式是通过Elasticsearch开放的HTTP 9200端口和Kibana开放的HTTP 5601端口的未认证直接读取,相关信息链接:

https://www.zdnet.com/article/smart-home-maker-leaks-customer-data-device-passwords/

2.影响版本

Elasticsearch和Kibana安装配置时未设置认证或弱密码的场景版本。

近年来,全球物联网产业高速发展,技术栈中大量使用高算力,大数据存储等基础技术,基于物联网的特性,智能设备管理平台采集或运营的数据包含了比传统互联网业务多得多的数据,比如可能包括:人员身份信息、生物信息、设备信息、定位信息等大类和若干细类的信息,特别是生物信息,一旦泄露不能像重置邮箱密码那样简单的更改即可,生物信息一旦泄露几乎是不可逆的信息泄露。

3.影响范围

通过安恒研究院SUMAP平台针对全球Elasticsearch服务的资产情况统计,最新查询分布情况如下:

通过安恒研究院SUMAP平台针对国内Elasticsearch服务的资产情况统计,最新查询分布情况如下:

通过安恒研究院SUMAP平台针对全球Kibana服务的资产情况统计,最新查询分布情况如下:

通过安恒研究院SUMAP平台针对国内Kibana服务的资产情况统计,最新查询分布情况如下:

4.缓解措施

高危:Elasticsearch和Kibana不安全的配置部署可能导致数据泄露,建议尽快做好安全加固配置。

增加认证加固配置的解决方法:

确认xpack.security.enabled设置为true,

使用elasticsearch-setup-passwords命令设置密码:

bin/elasticsearch-setup-passwords interactive

注意:6.3以前版本需要单独安装X-Pack,参考:

https://www.elastic.co/guide/en/elasticsearch/reference/6.2/installing-xpack-es.html

相关安全配置参考:

https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-security.html

关于Elasticsearch的更多安全配置请参考:

https://www.elastic.co/guide/en/elasticsearch/reference/7.2/security-settings.html。

威胁推演:此次数据泄露为不安全配置漏洞引发,基于全球使用该产品的用户数量和暴露在网上的端口情况,恶意攻击者可能会开发针对存在泄露的数据,实施自动化攻击的程序,从而实现泄露数据窃取。

安全运营建议:Elasticsearch历史上已经报过多次因为未认证访问接口而引发的数据泄露,建议使用该产品的企业做好安全加固配置和官方安全更新公告。

声明:本文来自安恒应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。