Elasticsearchの脆弱性を狙う攻撃が広範囲で続行か

Threatpostに掲載された記事「Elasticsearch Honeypot Snares 8,000 Attacks Against RCE Vulnerability｜Threatpost」が、高速検索エンジンソフトウェア「Elasticsearch」の脆弱性を突いた攻撃が依然として広範囲で実施されている可能性が高いことを伝えている。

Elasticsearchには遠隔から任意のコマンドが実行できてしまう脆弱性があったため、2月にこの脆弱性を修正したバージョンが公開されている。しかし、依然としてアップグレードが実施されていないサーバを狙って攻撃が行われていると見られる。

記事は「60 Days of Watching Hackers Attack Elasticsearch｜jordan-wright Security and Programming Blog」を取り上げ、計測用に用意したハニーポットに8000回ほどの攻撃が確認されたこと、300を超えるユニークIPアドレスからのアクセスがあったこと、そのうち93%以上が中国のIPアドレスからきていることなどを伝えている。

2月に修正されたElasticsearchの脆弱性は大きく取り上げられていないため、Elasticsearchのユーザはその存在に気がついていないおそれがある。この脆弱性は任意のコマンドの実行を許すものであるため、迅速に対策を行う必要がある。脆弱性が存在するバージョンを使用している場合はアップグレードの実施が推奨される。