5601 - Pentesting Kibana
Grundinformationen
Kibana ist bekannt für seine Fähigkeit, Daten innerhalb von Elasticsearch zu durchsuchen und zu visualisieren, typischerweise läuft es auf Port 5601. Es dient als Schnittstelle für die Überwachungs-, Verwaltungs- und Sicherheitsfunktionen des Elastic Stack Clusters.
Verständnis der Authentifizierung
Der Authentifizierungsprozess in Kibana ist eng mit den Anmeldeinformationen, die in Elasticsearch verwendet werden, verbunden. Wenn die Authentifizierung in Elasticsearch deaktiviert ist, kann Kibana ohne Anmeldeinformationen aufgerufen werden. Umgekehrt, wenn Elasticsearch mit Anmeldeinformationen gesichert ist, sind dieselben Anmeldeinformationen erforderlich, um auf Kibana zuzugreifen, wodurch identische Benutzerberechtigungen auf beiden Plattformen aufrechterhalten werden. Anmeldeinformationen könnten in der /etc/kibana/kibana.yml Datei gefunden werden. Wenn diese Anmeldeinformationen nicht zum kibana_system Benutzer gehören, könnten sie breitere Zugriffsrechte bieten, da der Zugriff des kibana_system Benutzers auf Überwachungs-APIs und den .kibana Index beschränkt ist.
Maßnahmen nach dem Zugriff
Sobald der Zugriff auf Kibana gesichert ist, sind mehrere Maßnahmen ratsam:
Die Erkundung von Daten aus Elasticsearch sollte Priorität haben.
Die Möglichkeit, Benutzer zu verwalten, einschließlich der Bearbeitung, Löschung oder Erstellung neuer Benutzer, Rollen oder API-Schlüssel, befindet sich unter Stack Management -> Users/Roles/API Keys.
Es ist wichtig, die installierte Version von Kibana auf bekannte Schwachstellen zu überprüfen, wie die RCE-Schwachstelle, die in Versionen vor 6.6.0 identifiziert wurde (Mehr Infos).
SSL/TLS Überlegungen
In Fällen, in denen SSL/TLS nicht aktiviert ist, sollte das Potenzial für das Leaken sensibler Informationen gründlich bewertet werden.
Referenzen
Last updated
