Elastic a dezvăluit două vulnerabilități critice care afectează Kibana, un instrument popular de vizualizare și explorare a datelor utilizat împreună cu Elasticsearch. Vulnerabilitățile permit atacatorilor să execute cod arbitrar prin probleme de deserializare YAML, fiind necesare actualizări urgente pentru utilizatorii afectați.
TL;DR
- Elastic a raportat două vulnerabilități critice în Kibana.
- Vulnerabilitățile permit execuția de cod arbitrar prin deserializare YAML.
- Utilizatorii trebuie să actualizeze urgent la versiunea Kibana 8.15.1.
- Vulnerabilitatea CVE-2024-37288 afectează conectorul Amazon Bedrock.
- CVE-2024-37285 necesită privilegii specifice pentru exploatare.
Vulnerabilitățile Kibana: o privire de ansamblu
Elastic a dezvăluit două vulnerabilități critice, CVE-2024-37288 și CVE-2024-37285, care permit atacatorilor să execute cod arbitrar prin probleme de deserializare YAML. Kibana este un instrument popular utilizat pentru vizualizarea și explorarea datelor stocate în Elasticsearch, iar aceste vulnerabilități subliniază importanța menținerii software-ului la zi.
CVE-2024-37288: exploatare prin conectorul Amazon Bedrock
Prima vulnerabilitate, CVE-2024-37288, afectează versiunea Kibana 8.15.0 și provine dintr-o problemă de deserializare în conectorul Amazon Bedrock, un instrument AI integrat în Elastic Security. Când Kibana încearcă să parseze un document YAML care conține un payload special creat, acesta poate duce la executarea de cod arbitrar. Utilizatorii care configurează conectorul Amazon Bedrock sunt în special vizatI, iar atacatorii pot obține controlul asupra sistemului afectat.
Strategii de mitigare
Elastic a lansat versiunea Kibana 8.15.1 pentru a rezolva această vulnerabilitate. Utilizatorii sunt sfătuiți să facă upgrade la această versiune pentru a reduce riscul. Pentru cei care nu pot face upgrade imediat, o soluție temporară implică dezactivarea „integration assistant” adăugând următoarea linie în fișierul de configurare kibana.yml:
xpack.integration_assistant.enabled: false
CVE-2024-37285: exploatare dependentă de Privilegii
A doua vulnerabilitate, CVE-2024-37285, afectează versiunile Kibana de la 8.10.0 la 8.15.0 și implică, de asemenea, o problemă de deserializare YAML, dar necesită un set mai specific de condiții pentru a fi exploatată.
Cerințe pentru exploatare
Pentru a exploata cu succes CVE-2024-37285, un atacator trebuie să aibă anumite privilegii Elasticsearch și Kibana. Printre acestea se numără privilegiul de scriere pe indicii de sistem .kibana_ingest*
și anumite privilegii în cadrul interfeței Kibana.
Severitate și impact
Ambele vulnerabilități au fost evaluate ca fiind critice. CVE-2024-37288 are un scor CVSS v3.1 de 9.9, iar CVE-2024-37285 este evaluat la 9.1. Aceste scoruri indică un risc mare de exploatare și consecințe severe, inclusiv acces neautorizat, furt de date sau întreruperea serviciilor.
Cum să te protejezi de vulnerabilități similare
Pentru a te proteja de astfel de vulnerabilități, este esențial să menții software-ul la zi și să aplici prompt patch-urile de securitate. În plus, configurarea corectă a privilegiilor și implementarea măsurilor suplimentare de securitate, cum ar fi segmentarea rețelei și sistemele de detectare a intruziunilor, pot ajuta la protejarea mediului tău.
Analistul de securitate Dhivya subliniază: „Dezvăluirea acestor vulnerabilități critice în Kibana evidențiază importanța menținerii software-ului la zi și revizuirea regulată a configurărilor de securitate.”