Krajem marta sam primetio javno dostupnu Elasticsearch bazu bez ikakve autentifikacije na IP adresi koja pripada Akademskoj mreži Republike Srbije - AMRES.
Prema imenima indeksa ovo liči na NetFlow podatke, NetFlow se koristi za snimanje metapodataka o tokovima IP saobraćaja koji prolazi kroz mrežne uređaje kao što su ruteri, svičevi i računari/serveri. Obzirom da je ovde 400GB netflow podataka za oko 14 dana što odgovara količini podataka za srednje-veću korporaciju, ovo može biti i celokupan saobraćaj AMRESa.
Elasticsearch klaster se zove "netvizura" pa možemo zaključiti da se radi o Netvizura NetFlow Analyzer. Ne znam da li je ovo bila samo proba pa je greškom baza ostavljena javno dostupna ili AMRES uvek koristi taj softver za analizu mrežnog saobraćaja.
Propust je prijavljen AMRES-u još kada je pronađen i baza je uklonjena sa javnog pristupa (i nadam se stavljena autentifikacija bez obzira što više nije javna)
Koliko sam uspeo naći, baza na portu 9200 je bila javno dostupna od 2025-02-08 do 2025-03-22 a Kibana na portu 5601 od 2025-02-11 datuma do 2025-04-07
Tokom javne otvorenosti baze bilo ko je mogao da preuzme podatke i ima potpuni uvid u to koji uređaji komuniciraju sa čime preko AMRES mreže, ali ne i šta tačno komuniciraju.
Prema imenima indeksa ovo liči na NetFlow podatke, NetFlow se koristi za snimanje metapodataka o tokovima IP saobraćaja koji prolazi kroz mrežne uređaje kao što su ruteri, svičevi i računari/serveri. Obzirom da je ovde 400GB netflow podataka za oko 14 dana što odgovara količini podataka za srednje-veću korporaciju, ovo može biti i celokupan saobraćaj AMRESa.
Elasticsearch klaster se zove "netvizura" pa možemo zaključiti da se radi o Netvizura NetFlow Analyzer. Ne znam da li je ovo bila samo proba pa je greškom baza ostavljena javno dostupna ili AMRES uvek koristi taj softver za analizu mrežnog saobraćaja.
Propust je prijavljen AMRES-u još kada je pronađen i baza je uklonjena sa javnog pristupa (i nadam se stavljena autentifikacija bez obzira što više nije javna)
Koliko sam uspeo naći, baza na portu 9200 je bila javno dostupna od 2025-02-08 do 2025-03-22 a Kibana na portu 5601 od 2025-02-11 datuma do 2025-04-07
Tokom javne otvorenosti baze bilo ko je mogao da preuzme podatke i ima potpuni uvid u to koji uređaji komuniciraju sa čime preko AMRES mreže, ali ne i šta tačno komuniciraju.