5601 - Pentesting Kibana
Βασικές Πληροφορίες
Το Kibana είναι γνωστό για την ικανότητά του να αναζητά και οπτικοποιεί δεδομένα εντός του Elasticsearch, συνήθως λειτουργώντας στη θύρα 5601. Λειτουργεί ως η διεπαφή για τις λειτουργίες παρακολούθησης, διαχείρισης και ασφάλειας του συστήματος Elastic Stack.
Κατανόηση της Ταυτοποίησης
Η διαδικασία ταυτοποίησης στο Kibana συνδέεται αναπόσπαστα με τα διαπιστευτήρια που χρησιμοποιούνται στο Elasticsearch. Εάν το Elasticsearch έχει απενεργοποιημένη την ταυτοποίηση, το Kibana μπορεί να προσπελαστεί χωρίς κανένα διαπιστευτήριο. Αντίθετα, εάν το Elasticsearch είναι ασφαλισμένο με διαπιστευτήρια, τα ίδια διαπιστευτήρια απαιτούνται για την πρόσβαση στο Kibana, διατηρώντας ταυτόχρονα τα ίδια δικαιώματα χρήστη σε και τις δύο πλατφόρμες. Τα διαπιστευτήρια μπορεί να βρεθούν στο αρχείο /etc/kibana/kibana.yml. Εάν αυτά τα διαπιστευτήρια δεν αναφέρονται στον χρήστη kibana_system, μπορεί να προσφέρουν ευρύτερα δικαιώματα πρόσβασης, καθώς η πρόσβαση του χρήστη kibana_system περιορίζεται στις προγραμματιστικές διεπαφές παρακολούθησης και τον δείκτη .kibana.
Ενέργειες Μετά την Πρόσβαση
Μόλις εξασφαλιστεί η πρόσβαση στο Kibana, είναι συνιστώμενες διάφορες ενέργειες:
Η εξερεύνηση των δεδομένων από το Elasticsearch πρέπει να είναι προτεραιότητα.
Η δυνατότητα διαχείρισης χρηστών, συμπεριλαμβανομένης της επεξεργασίας, διαγραφής ή δημιουργίας νέων χρηστών, ρόλων ή κλειδιών API, βρίσκεται στο Stack Management -> Users/Roles/API Keys.
Είναι σημαντικό να ελεγχθεί η εγκατεστημένη έκδοση του Kibana για γνωστές ευπάθειες, όπως η ευπάθεια RCE που εντοπίστηκε σε εκδόσεις προηγούμενες της 6.6.0 (Περισσότερες Πληροφορίες).
Σκέψεις για SSL/TLS
Σε περιπτώσεις όπου το SSL/TLS δεν είναι ενεργοποιημένο, πρέπει να αξιολογηθεί προσεκτικά η πιθανότητα διαρροής ευαίσθητων πληροφοριών.
Αναφορές
Last updated