5601 - Pentesting Kibana
Grundlegende Informationen
Kibana ist bekannt für seine Fähigkeit, Daten in Elasticsearch zu suchen und zu visualisieren, normalerweise auf Port 5601. Es dient als Schnittstelle für die Überwachungs-, Verwaltungs- und Sicherheitsfunktionen des Elastic Stack-Clusters.
Verständnis der Authentifizierung
Der Authentifizierungsprozess in Kibana ist untrennbar mit den Anmeldeinformationen verbunden, die in Elasticsearch verwendet werden. Wenn Elasticsearch die Authentifizierung deaktiviert hat, kann auf Kibana ohne Anmeldeinformationen zugegriffen werden. Umgekehrt werden bei gesicherter Elasticsearch die gleichen Anmeldeinformationen benötigt, um auf Kibana zuzugreifen, wobei die gleichen Benutzerberechtigungen auf beiden Plattformen beibehalten werden. Die Anmeldeinformationen können in der Datei /etc/kibana/kibana.yml gefunden werden. Wenn diese Anmeldeinformationen nicht den Benutzer kibana_system betreffen, können sie umfassendere Zugriffsrechte bieten, da der Zugriff des Benutzers kibana_system auf Überwachungs-APIs und den .kibana-Index beschränkt ist.
Aktionen nach dem Zugriff
Sobald der Zugriff auf Kibana gesichert ist, sind mehrere Aktionen ratsam:
Die Erkundung von Daten aus Elasticsearch sollte Priorität haben.
Die Möglichkeit, Benutzer zu verwalten, einschließlich der Bearbeitung, Löschung oder Erstellung neuer Benutzer, Rollen oder API-Schlüssel, befindet sich unter Stack Management -> Users/Roles/API Keys.
Es ist wichtig, die installierte Version von Kibana auf bekannte Sicherheitslücken zu überprüfen, wie z.B. die RCE-Sicherheitslücke in Versionen vor 6.6.0 (Weitere Informationen).
SSL/TLS-Überlegungen
In Fällen, in denen SSL/TLS nicht aktiviert ist, sollte das Potenzial für das Auslaufen sensibler Informationen gründlich bewertet werden.
Referenzen
Last updated