IT部门使用开源的Elasticsearch搜索引擎对日志和其他数据进行内部梳理，他们被警告说这是一场勒索活动，似乎是与最近的MongoDB攻击相一致的组织精心策划的。问题是安全性差:弹性搜索集群没有很好的理由就对Internet开放。

有报道称，到目前为止，至少有600台主机受到勒索软件的攻击。一个问题是很多Elasticsearch用户将他们的集群放在云上。

搜索技术专家Itamar synh - hershko警告说:“无论如何，永远不要将集群节点暴露给Web。”这听起来显而易见，但显然不是所有人都这么做。您的集群应该永远不要暴露给公共web。”

Elasticsearch是一个分布式的、基于json的搜索和分析引擎，它的开发人员认为它是为水平可伸缩性、可靠性和易于管理而设计的。在infosec专业人员的手中，它可以用于梳理大量的安全日志。销售和营销人员的分析师喜欢它，因为它可以组合许多类型的搜索——结构化、非结构化、地理位置和度量。

正如synh - hersko指出的，Elasticsearch可以被告知要监听什么ip:本地主机、私有ip、公共ip或任何组合。但是，他重复道，“世界上没有理由设置Elasticsearch来监听公共IP或可公开访问的DNS名称。“网络。bind_host或网络。主机设置应该始终只设置为私有IP(或在某些例外情况下也设置为本地主机)。

安全专业人员通常不必担心他们的组织为浏览公司数据而选择的搜索引擎。但是…

他补充说，一个非常常见的错误是管理员认为Elasticsearch是基于HTTP的REST，可以直接从智能HTML客户机访问它。相反，他说查询应该通过一个可以进行请求过滤和审计日志的软件外观来传递。他还说，别忘了密码保护你的数据。

即使在公司网络中，也要尽可能将集群与系统的其他部分隔离。clientsdeploying集群在Amazon AWS的例如,Syn Hersko建议把集群在VPC(虚拟私有云),然后有两个独立的安全组——一个用于整个集群,为客户机和一个节点,然后只有在应用程序需要访问这个共享集群。

他还说，只有客户机节点应该启用HTTP，并且只有专用网络中的应用程序可以访问它们。

荷兰非营利组织GDI基金会的安全研究员Victor Gervers在一封电子邮件中说，和MongoDB的问题一样，这是另一个糟糕的默认产品安全问题。Elasticsearch的默认安装绑定到本地主机，允许任何未经身份验证的用户以超级用户的身份向Elasticsearch集群发送任意请求。“摧毁整个Elasticsearch只需要几秒钟，可以通过命令行或web浏览器完成，”他写道。

他说，一项互联网搜索显示，全世界有34,418个面向Internet的Elasticsearch实例，其中16,280个正在执行数据收集和日志解析(使用Logstash)等工作，可用于网络监控和其他NOC/SOC活动。