オープンソースの全文検索システム「Elasticsearch」の脆弱性を狙った不審な通信が国内で検知され始めている。
オープンソースの全文検索システム「Elasticsearch」の複数の脆弱性を狙った不審な通信が増加しているとして、警察庁や日本IBMが注意を呼び掛けている。脆弱性を悪用された場合、第三者が当該システムで任意のコマンドを実行できてしまう。
警察庁は3月16日に発表した注意喚起で、3月4日頃から脆弱性を抱えたシステムを探したり、任意のコマンドの実行を試みたりする通信が多数観測されているとした。日本IBMでも2月頃から観測しており、3月9日以降は別の脆弱性を突く不正な通信も発生している。
不正な通信が悪用を試みる脆弱性は、サンドボックス保護メカニズムを回避される脆弱性(CVE-2015-1427)や、初期設定における脆弱性(CVE-2014-3120)であるようだ。CVE-2015-1427の脆弱性では第三者が細工したスクリプトを介して、Elasticsearchのサンドボックス機構が回避されてしまい、任意のシェルコマンドを実行されてしまう。CVE-2014-3120の脆弱性は動的スクリプトを有効にする初期設定に起因するもので、第三者が「_search」の「source」パラメータを介して任意のMVEL式やJavaコードを実行できてしまうという。
Elasticsearchは近年人気が急速に高まり、Webサイトを中心に導入が増えている。
これらの脆弱性を修正したElasticsearch 1.4.4および1.3.9が2月25日に公開されており、各機関ではバージョンアップや攻撃の有無の確認といった対応をユーザーに呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.