Elastic Stack 漏洞可能导致数据窃取和拒绝服务攻击

Salt Security Inc. 的研究人员今天详细介绍了一个新的应用程序编程接口漏洞，该漏洞可能导致对 Elastic Stack 的攻击。

该漏洞源于 Elastic Stack 的错误实施，Elastic Stack 是一组使用 API 进行关键数据聚合、搜索和分析功能的开源产品。 研究人员发现，几乎每个使用 Elastic Stack 的组织都受到该漏洞的影响，该漏洞允许不法分子窃取数据并发起拒绝服务攻击。

Salt Labs 首先发现了一个大型在线企业对消费者平台中的可利用缺陷，该平台向数百万全球用户提供基于 API 的移动应用程序和软件即服务。 使用此设计弱点的漏洞可用于创建一系列 API 威胁，这些威胁与 OWASP API 安全性前 10 名中描述的常见 API 安全问题相对应。

API 威胁包括过度数据暴露、缺乏资源和速率限制、安全配置错误以及由于缺乏输入过滤而容易受到注入攻击。

研究人员展示了当攻击者将多个漏洞链接在一起时，Elastic Stack 设计实施缺陷的影响如何显着恶化。 为了泄露敏感的用户和系统数据，攻击者可以滥用前端和后端服务之间缺乏授权的情况来获取具有基本权限级别的工作用户帐户。 通过此帐户访问权限，攻击者可以对后端数据存储的架构进行有根据的猜测，并查询他们无权访问的数据。

此外，研究人员还展示了缺乏资源限制如何使组织的集成后端服务容易受到 DoS 攻击。 这可能导致服务完全不可用或将注意力从针对其他应用程序的恶意活动转移。

“虽然 Elastic Stack 本身不是一个漏洞，但 Salt Labs 观察到的设计实施缺陷会带来同样大的风险，”Salt Security 的技术布道者 Michael Isbitski 在一份声明中说。 “提交给用于利用此漏洞的 Elastic 后端服务的特定查询很难测试。”

应用安全提供商 nVisium LLC 的高级应用安全顾问 Jon Gaines 告诉 SiliconANGLE，Elastic Stack 因过度暴露数据而臭名昭著。

“不幸的是，这些漏洞的技术壁垒极低，”盖恩斯解释道。 “因此，坏人发现和利用这些漏洞的风险很高。 至于严重性，这取决于组织本身在权限方面公开或允许的内容。”

企业网络风险补救公司 Vulcan Cyber​​ Ltd. 的联合创始人兼首席执行官 Yaniv Bar-Dayan 指出，Elastic Stack 的用户应该检查自己的实施是否存在这种错误配置，不要重蹈覆辙。

“我们都看到暴露的客户数据和拒绝服务攻击对被黑目标造成了重大的物质损失，”Bar-Dayan 说。 “利用这个漏洞是可以避免的，但必须迅速修复。”

图片：弹性