Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00399
- 發信 Vendor: 國立成功大學
- Title: 國立成功大學 Elasticsearch 未實施存取控制遭勒索攻擊
- Introduction: Elasticsearch 8.10.2 叢集未實施存取控制可直接存取內容,並已遭勒索
處理狀態
目前狀態
公開
Last Update : 2026/05/02
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2026/03/23 19:55:30 : 新提交 (由 鄉民 更新此狀態)
- 2026/03/23 20:54:10 : 新提交 (由 鄉民 更新此狀態)
- 2026/03/23 22:03:23 : 新提交 (由 鄉民 更新此狀態)
- 2026/03/31 17:57:30 : 審核未通過 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/15 17:03:45 : 新提交 (由 鄉民 更新此狀態)
- 2026/04/15 20:13:53 : 新提交 (由 鄉民 更新此狀態)
- 2026/04/20 22:06:33 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/24 12:20:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/24 12:20:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/24 14:26:26 : 已修補 (由 組織帳號 更新此狀態)
- 2026/05/02 03:00:10 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00399
- 通報者:鄉民
- 風險:嚴重
- 類型:疑似遭入侵 (Probably Hacked)
參考資料
伺服器遭到入侵,例如頁面遭植入惡意程式、後門頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://140.116.245.157:9200
敘述
Elasticsearch 8.10.2 服務未實施存取控制,無任何認證機制。
該叢集目前僅剩一個索引 read_me,原始業務資料已全部遭到刪除。攻擊者在 read_me 索引中留下勒索訊息,要求被害者支付比特幣以換取資料。
步驟 1: 無需任何認證存取 Elasticsearch,確認服務開放:
curl -s "http://140.116.245.157:9200/"步驟 2(索引列舉): 列舉所有索引,發現 1 個索引:
步驟 3: 讀取 read_me 索引取得完整勒索內容:
curl -s "http://140.116.245.157:9200/read_me/_search?pretty"步驟 4: 雖 internal/_search 已被覆蓋,但 Elasticsearch 管理員帳密明文仍可使用預設帳號密碼。
影響
- 所有原始 ES 索引已被刪除
- 截至通報日,ES 仍無認證開放,任何人可繼續寫入或再次刪除
- 節點名稱為容器 ID,顯示此為 Docker 環境,需評估容器內其他服務的安全性
註 : 該端點與 ZD-2026-00403 個案相同,雖漏洞內容不同,但預期該端點已離線保護。
修補建議
1. **立即下線或設防火牆**:封鎖 9200/9300 port 的外部存取,避免持續暴露
2. **啟用 X-Pack Security**:在 `elasticsearch.yml` 加入 `xpack.security.enabled: true`,並重設 `elastic` 帳號密碼
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。