Información Básica

Kibana es conocido por su capacidad para buscar y visualizar datos dentro de Elasticsearch, generalmente se ejecuta en el puerto 5601. Sirve como la interfaz para las funciones de monitoreo, gestión y seguridad del clúster de Elastic Stack.

Comprendiendo la Autenticación

El proceso de autenticación en Kibana está inherentemente vinculado a las credenciales utilizadas en Elasticsearch. Si Elasticsearch tiene la autenticación deshabilitada, Kibana se puede acceder sin ninguna credencial. Por el contrario, si Elasticsearch está asegurado con credenciales, se requieren las mismas credenciales para acceder a Kibana, manteniendo permisos de usuario idénticos en ambas plataformas. Las credenciales pueden encontrarse en el archivo /etc/kibana/kibana.yml. Si estas credenciales no corresponden al usuario kibana_system, pueden ofrecer derechos de acceso más amplios, ya que el acceso del usuario kibana_system está restringido a las APIs de monitoreo y al índice .kibana.

Acciones al Obtener Acceso

Una vez asegurado el acceso a Kibana, varias acciones son recomendables:

• Explorar datos de Elasticsearch debería ser una prioridad.

• La capacidad de gestionar usuarios, incluida la edición, eliminación o creación de nuevos usuarios, roles o claves API, se encuentra en Gestión de Stack -> Usuarios/Roles/Claves API.

• Es importante verificar la versión instalada de Kibana en busca de vulnerabilidades conocidas, como la vulnerabilidad de RCE identificada en versiones anteriores a 6.6.0 (Más Información).

Consideraciones de SSL/TLS

En casos donde SSL/TLS no está habilitado, se debe evaluar minuciosamente el potencial de filtración de información sensible.

Referencias

• https://insinuator.net/2021/01/pentesting-the-elk-stack/