Elasticsearch

Die Schwachstelle steckt in der Groovy-Skript-Engine von Elasticsearch, einer weit verbreiteten Such- und Analyse-Software. Elasticsearch erlaubt es, eigene Skripte etwa zur Verarbeitung von Suchanfragen auszuführen, und schirmt diese eigentlich durch einen Sandbox-Schutzmechanismus ab, der gefährliche Operationen unterbinden soll. Genau diese Abschottung lässt sich umgehen: Über ein speziell präpariertes Skript kann ein Angreifer aus der Ferne aus der Sandbox ausbrechen und beliebige Shell-Befehle auf dem Server ausführen. Damit erlangt er die Kontrolle über das betroffene System und kann es im Rahmen der Rechte des Elasticsearch-Dienstes vollständig manipulieren. Der Angriff erfordert keine vorherige Anmeldung und lässt sich allein durch das Einschleusen eines manipulierten Skripts auslösen. Besonders gefährdet sind Installationen, bei denen die Skriptausführung aktiviert und der Dienst aus dem Netz erreichbar ist.