Osnovne informacije

Kibana je poznata po svojoj sposobnosti pretrage i vizualizacije podataka unutar Elasticsearch-a, obično pokrenuta na portu 5601. Ona služi kao interfejs za nadgledanje, upravljanje i sigurnosne funkcije klastera Elastic Stack-a.

Razumevanje autentifikacije

Proces autentifikacije u Kibani je inherentno povezan sa povernicama koje se koriste u Elasticsearch-u. Ako je autentifikacija Elasticsearch-a onemogućena, Kibana se može pristupiti bez ikakvih povernica. S druge strane, ako je Elasticsearch obezbeđen povernicama, iste povernice su potrebne za pristup Kibani, održavajući iste korisničke dozvole na oba sistema. Povernice se mogu pronaći u datoteci /etc/kibana/kibana.yml. Ako ove povernice ne pripadaju korisniku kibana_system, one mogu pružiti šire dozvole pristupa, budući da je pristup korisnika kibana_system ograničen na monitoring API-je i .kibana indeks.

Radnje nakon pristupa

Kada je pristup Kibani obezbeđen, nekoliko radnji je preporučljivo preduzeti:

• Istraživanje podataka iz Elasticsearch-a trebalo bi biti prioritet.

• Mogućnost upravljanja korisnicima, uključujući uređivanje, brisanje ili kreiranje novih korisnika, uloga ili API ključeva, nalazi se pod Stack Management -> Users/Roles/API Keys.

• Važno je proveriti instaliranu verziju Kibane radi poznatih ranjivosti, kao što je ranjivost RCE identifikovana u verzijama pre 6.6.0 (Više informacija).

SSL/TLS razmatranja

U slučajevima kada SSL/TLS nije omogućen, potencijal za otkrivanje osetljivih informacija treba pažljivo proceniti.

Reference

• https://insinuator.net/2021/01/pentesting-the-elk-stack/