5601 - Pentesting Kibana

Basic Information

Το Kibana είναι γνωστό για την ικανότητά του να αναζητά και να οπτικοποιεί δεδομένα μέσα στο Elasticsearch, συνήθως τρέχοντας στην θύρα 5601. Λειτουργεί ως η διεπαφή για την παρακολούθηση, διαχείριση και ασφάλεια του κλάσματος Elastic Stack.

Understanding Authentication

Η διαδικασία της αυθεντικοποίησης στο Kibana συνδέεται άρρηκτα με τα διαπιστευτήρια που χρησιμοποιούνται στο Elasticsearch. Εάν το Elasticsearch έχει απενεργοποιημένη την αυθεντικοποίηση, το Kibana μπορεί να προσπελαστεί χωρίς κανένα διαπιστευτήριο. Αντίθετα, εάν το Elasticsearch είναι ασφαλισμένο με διαπιστευτήρια, τα ίδια διαπιστευτήρια απαιτούνται για την πρόσβαση στο Kibana, διατηρώντας ταυτόχρονες άδειες χρήστη και στις δύο πλατφόρμες. Τα διαπιστευτήρια μπορεί να βρεθούν στο αρχείο /etc/kibana/kibana.yml. Εάν αυτά τα διαπιστευτήρια δεν αφορούν τον χρήστη kibana_system, μπορεί να προσφέρουν ευρύτερα δικαιώματα πρόσβασης, καθώς η πρόσβαση του χρήστη kibana_system περιορίζεται σε APIs παρακολούθησης και στον δείκτη .kibana.

Actions Upon Access

Αφού εξασφαλιστεί η πρόσβαση στο Kibana, είναι σκόπιμο να γίνουν αρκετές ενέργειες:

• Η εξερεύνηση δεδομένων από το Elasticsearch θα πρέπει να είναι προτεραιότητα.

• Η δυνατότητα διαχείρισης χρηστών, συμπεριλαμβανομένης της επεξεργασίας, διαγραφής ή δημιουργίας νέων χρηστών, ρόλων ή κλειδιών API, βρίσκεται κάτω από Διαχείριση Στοίβας -> Χρήστες/Ρόλοι/Κλειδιά API.

• Είναι σημαντικό να ελέγξετε την εγκατεστημένη έκδοση του Kibana για γνωστές ευπάθειες, όπως η ευπάθεια RCE που εντοπίστηκε σε εκδόσεις πριν από την 6.6.0 (More Info).

SSL/TLS Considerations

Σε περιπτώσεις όπου το SSL/TLS δεν είναι ενεργοποιημένο, η πιθανότητα διαρροής ευαίσθητων πληροφοριών θα πρέπει να αξιολογηθεί προσεκτικά.

References

• https://insinuator.net/2021/01/pentesting-the-elk-stack/