國立臺灣師範大學 Elasticsearch 叢集未實施存取控制致資訊洩漏 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00398
  •  發信 Vendor: 國立臺灣師範大學
  • Title: 國立臺灣師範大學 Elasticsearch 叢集未實施存取控制致資訊洩漏
  • Introduction: Elasticsearch 7.5.2 叢集完全無認證對外開放,可讀取與修改所有索引資料。包含管理員憑證明文等多個內部服務的密鑰資訊。

處理狀態

目前狀態

公開
Last Update : 2026/04/19
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2026/03/23 19:45:26 : 新提交 (由 DL56 更新此狀態)
  • 2026/03/23 20:52:33 : 新提交 (由 DL56 更新此狀態)
  • 2026/03/25 14:44:15 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 16:45:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 16:45:32 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 16:45:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/14 10:59:59 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2026/04/16 00:48:33 : 確認已修補 (由 DL56 更新此狀態)
  • 2026/04/19 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2026-00398
  • 通報者:dinlon5566 (DL56)
  • 風險:嚴重
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://140.122.184.230:9200

敘述

漏洞說明

位於 140.122.184.230:9200 的 Elasticsearch 7.5.2 服務未實施存取控制,無任何 API Key 或 Basic Auth 認證。任何人可:

  • 列舉所有索引(index)名稱
  • 讀取所有文件(document)內容
  • 透過 DSL 查詢任意資料

該叢集包含 12 個索引,儲存大量敏感資訊,最嚴重者為 internal 索引中存有 Elasticsearch 管理員憑證明文,以及多個索引中存有針對各種系統的攻擊 Payload,此 Elasticsearch 可能作為內部安全測試資料庫使用,因缺乏存取控制,導致所有測試記錄完全對外洩漏。

重現步驟

步驟 1: 無需任何認證存取 Elasticsearch,取得叢集基本資訊:

curl -s "http://140.122.184.230:9200/"

圖片

步驟 2(索引列舉): 列舉所有索引,發現 12 個敏感索引:

curl -s "http://140.122.184.230:9200/_cat/indices?v"

圖片

步驟 3(管理員帳密洩漏): 讀取 internal 索引,發現 Elasticsearch 管理員帳密明文:

curl -s "http://140.122.184.230:9200/internal/_search"

圖片

讀取 apisixservice 索引,發現針對 Apache APISIX 和 Sonatype Nexus 的 RCE 攻擊記錄:

curl -s "http://140.122.184.230:9200/apisix/_search"
curl -s "http://140.122.184.230:9200/cgi-bin/_search"

圖片

此為 Apache APISIX CVE-2022-24112 漏洞 Payload。

影響

  1. internal 索引含明文管理員憑證,可直接用於存取 Elasticsearch 管理功能
  2. 資料讀取/修改/刪除與叢集設定變更
  3. 測試目標、方法及驗證手法完全對外暴露
  4. APISIX API 閘道器 Admin API Key、內部路由設定洩漏
  5. XXXXXXXXXXXXX<EDIT>XXXXXXXXXXX.oast.fun 為外帶測試 OAST 域名,洩漏可能進行中的測試活動

修補建議

1. **立即啟用 Elasticsearch X-Pack 安全性**:在 `elasticsearch.yml` 設定 `xpack.security.enabled: true`,啟用 Basic Auth 認證
2. **立即更改 elastic 帳號密碼**:執行 `bin/elasticsearch-setup-passwords` 重設所有內建帳號的密碼
3. **限制對外存取**:透過防火牆規則限制 9200 及 9300 port 僅允許授權內網 IP 存取,不得對公網開放
4. **審查 APISIX API Key**:立即輪換 `apisix` 索引中洩漏的 Admin API Key
5. **清理敏感索引**:`internal` 索引中的明文帳密應立即刪除,評估其他索引中的敏感資料是否需要清除
6. **升級 Elasticsearch 版本**:7.5.2 發布於 2019 年,建議升級至最新穩定版(8.x)以獲得更完善的安全功能

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;