5601 - Pentesting Kibana
Podstawowe informacje
Kibana jest znana z możliwości wyszukiwania i wizualizacji danych w Elasticsearch, zwykle działając na porcie 5601. Służy jako interfejs dla klastra Elastic Stack do monitorowania, zarządzania i funkcji związanych z bezpieczeństwem.
Zrozumienie uwierzytelniania
Proces uwierzytelniania w Kibana jest ściśle powiązany z poświadczeniami używanymi w Elasticsearch. Jeśli Elasticsearch ma wyłączone uwierzytelnianie, Kibana można uzyskać dostęp bez żadnych poświadczeń. W przeciwnym razie, jeśli Elasticsearch jest zabezpieczony za pomocą poświadczeń, te same poświadczenia są wymagane do uzyskania dostępu do Kibana, zachowując identyczne uprawnienia użytkownika na obu platformach. Poświadczenia mogą być znalezione w pliku /etc/kibana/kibana.yml. Jeśli te poświadczenia nie dotyczą użytkownika kibana_system, mogą oferować szersze prawa dostępu, ponieważ dostęp użytkownika kibana_system jest ograniczony do interfejsów API monitorowania i indeksu .kibana.
Działania po uzyskaniu dostępu
Po zabezpieczeniu dostępu do Kibana zaleca się wykonanie kilku działań:
Przeglądanie danych z Elasticsearch powinno być priorytetem.
Możliwość zarządzania użytkownikami, w tym edycji, usuwania lub tworzenia nowych użytkowników, ról lub kluczy API, znajduje się w zakładce Stack Management -> Users/Roles/API Keys.
Ważne jest sprawdzenie zainstalowanej wersji Kibana pod kątem znanych podatności, takich jak podatność RCE zidentyfikowana w wersjach wcześniejszych niż 6.6.0 (Więcej informacji).
Rozważania dotyczące SSL/TLS
W przypadkach, gdy SSL/TLS nie jest włączone, należy dokładnie ocenić potencjalne wyciekanie poufnych informacji.
Odwołania
Last updated