OPEN ELASTIC SEARCH Elasticsearch es un servidor de búsqueda basado en Lucene. Provee un motor de búsqueda de texto completo, distribuido y con capacidad de multi-tenencia con una interfaz web RESTful y con documentos JSON. Elasticsearch está desarrollado en Java y está publicado como código abierto bajo las condiciones de la licencia Apache. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
timestamp_EcuCERT Fecha y hora de comprobación de EcuCERT en GMT -5
as_name Nombre del ASN al que pertenece la dirección IP
status_EcuCERT Online: vulnerabilidad reportada por Stakeholders y comprobada por el EcuCERT en el timestamp_EcuCERT
Offline: Vulnerabilidad reportada por Stakeholders, pero en el timestamp_EcuCERT no se detectó.
timestamp Fecha y hora de comprobación en UTC+0
ip Dirección IP del host
protocol Protocolo por el que ingresó la respuesta (UDP )
port Puerto desde donde se obtiene la respuesta Chargen
hostname DNS reverso del host
tag Siempre será chargen
version Número de versión del elasticsearch
asn ASN de la red donde se encuentra el host
geo País donde se encuentra el host
region Estado/Provincia/Región donde se encuentra el host
city Ciudad donde se encuentra el host
naics Código del Sistema de Clasificación Industrial de América del Norte
sic Código del Sistema de Clasificación Industrial Estándar
ok Indica que todo está funcionando apropiadamente
name Nombre de identificación de la instancia de Elasticsearch
cluster_name Nombre de cluster de Elasticsearch a la que pertenece la instancia (si tiene)
status Usualmente “200”, significa que todo está trabajando
build_hash Hash de la versión de Elasticsearch que esta corriendo
build_timestamp Fecha y hora de cuando fue construida la versión de Elasticsearch que está corriendo
build_snapshot Si los snapshots está habilitados
lucene_version Versión del Apache Lucene que Elasticsearch está usando
Detección Los reportes realizados identifican los host que cuentan con Elasticsearch y están accesibles a internet. Elasticsearch no admite la autenticación o restringue el acceso al lugar donde se almacén de datos, por lo que es posible que cualquier entidad que pueda acceder a la instancia Elasticsearch pueda tener un control total para hacer lo que quiera con ella. Para verificar esto se puede utilizar: "GET / HTTP/1.1" enviado al puerto 9200/tcp. Medidas de corrección recomendadas. Para evitar esta vulnerabilidad se recomienda tomar las siguientes medidas: No correr Elasticsearch abierto al público, debe correr detrás de un firewall. Se debe bloquear el puerto 9200, así como el puerto 9300. No correr Elasticsearch como “root”. Enlaces de interés: https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-Elasticsearch https://es.wikipedia.org/wiki/Elasticsearch http://www.adictosaltrabajo.com/tutoriales/primeros-pasos-elasticsearch/ https://www.elastic.co/blog/found-elasticsearch-security#staying-safe-while-developing-with-elasticsearch Links de descarga:
Open Elastic Search - Descripción
MD5: 612c16f984f967e504a504c09559ce54
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT