Kritična varnostna ranljivost odkrite v Kibani: Omogočena izvedba poljubne kode
Strokovnjaki za kibernetsko varnost so odkrili kritično varnostno ranljivost v Kibani, popularnem orodju za vizualizacijo in raziskovanje podatkov, ki se uporablja skupaj z Elasticsearch. Ranljivost, označena kot CVE-2024-37287, omogoča izvajanje poljubne kode prek ranljivosti onesnaženja prototipa, kar daje napadalcem potencialen dostop do prizadetih sistemov.
Ta resna pomanjkljivost je bila ocenjena kot kritična z oceno resnosti CVSSv3.1 9.1. Ker je razkrita ranljivost izredno visoko ocenjena, njena pravočasna odprava postane ključna.
Podrobnosti o ranljivosti
Ranljivost onesnaženja prototipa, ki jo lahko sproži napadalec, zahteva določene pogoje za izkoriščanje. Napadalec mora imeti:
- Pravice pisanja v skrite indekse
.ml-anomalies*. - Pravice branja funkcije strojnega učenja (Machine Learning).
- Pravice branja funkcije Actions & Connectors.
S pridobitvijo teh pravic, lahko napadalci povzročijo onesnaženje prototipa in nato izvedejo poljubno kodo v prizadetem sistemu. Čeprav so številni varnostni ukrepi, kot sta seccomp-bpf in Profili AppArmor, uspešni pri preprečevanju popolnega prevzema sistema, ranljivost še vedno predstavlja resno tveganje.
Prizadeti sistemi
Ranljivost vpliva na naslednje različice Kibana:
- Kibana 8.x: Različice pred 8.14.2
- Kibana 7.x: Različice od 7.7.0 do 7.17.23
Za uspešno izkoriščanje ranljivosti mora napadalec imeti dostop do pisanja v skrite indekse .ml-anomalies*, pravice branja funkcije strojnega učenja, in pravice branja funkcije Actions & Connectors. Ti pogoji so običajno omejeni in nadzorovani, vendar lastniki sistemov morajo vseeno upoštevati naslednje nasvete, da bi zagotovili zaščito pred ranljivostjo.
Strategije za blaženje ranljivosti
Za uporabnike, ki iz različnih razlogov ne morejo takoj nadgraditi, so na voljo številni koraki za blaženje ranljivosti:
- Zavarujte privilegije uporabnikov Elasticsearch: Zagotovite, da uporabniki nimajo nepotrebnih privilegijev, še posebej pravic pisanja v ML indekse rezultatov (.ml-anomalies*).
- Omejite privilegije uporabnikov Kibana: Omejite dostop do ML in konektorskih akcijskih zmožnosti z določitvijo relevantnih privilegijev Kibana na “None” za uporabnike, ki jih ne potrebujejo.
- Onemogočite akcije konektorjev: Onemogočite akcije konektorjev za e-pošto v
kibana.ymlza preprečitev pošiljanja obvestil o pravilih opozarjanja prek e-pošte. - Onemogočite strojno učenje: Popolnoma onemogočite zmožnosti ML z nastavitvijo
xpack.ml.enabled: falsevelasticsearch.ymlinkibana.yml.
Glede na resnost ranljivosti je lastnikom sistemov močno priporočeno takojšnje ukrepanje. Nujno je, da dovršite svoje sisteme s posodobitvijo Kibana na verzijo 8.14.2 ali 7.17.23, kar bo učinkovito omililo to nevarnost.
Poleg tega priporočamo, da organizacije natančno pregledajo in prilagodijo varnostne ukrepe ter se osredotočijo na omejitev nepotrebnih privilegijev za uporabnike. Nekatere dodatne varnostne izboljšave vključujejo uporabo seccomp-bpf in AppArmor profilov, ki so že umeščeni v večino modernih distribucij Linuxa.
Ta varnostni incident je opomnik za vse organizacije, ki uporabljajo Kibana in Elasticsearch, da redno posodabljajo svoje sisteme in spremljajo varnostne posodobitve proizvajalca.
Za popolne informacije o ranljivosti in strategijah za njeno ublažitev, obiščite uradna poročila Elastic, dosegljiva na sledeči povezavi: uradno poročilo Elastic.
Za več informacij in stalen dostop do najnovejših varnostnih novic, redno obiskujte naš kibernetski varnostni portal Cyber Security News.
Vir novice: Ranljivost v Kibani omogoča RCE in omogoča napadalcem nadzor na daljavo
