Основна інформація

Kibana відома своєю можливістю шукати та візуалізувати дані в Elasticsearch, яка зазвичай працює на порту 5601. Вона служить інтерфейсом для моніторингу, управління та функцій безпеки кластера Elastic Stack.

Розуміння аутентифікації

Процес аутентифікації в Kibana неодмінно пов'язаний з обліковими даними, які використовуються в Elasticsearch. Якщо аутентифікація в Elasticsearch вимкнена, до Kibana можна отримати доступ без будь-яких облікових даних. Навпаки, якщо Elasticsearch захищений обліковими даними, для доступу до Kibana потрібні ті самі облікові дані, зберігаючи однакові права користувача на обох платформах. Облікові дані можуть бути знайдені в файлі /etc/kibana/kibana.yml. Якщо ці облікові дані не стосуються користувача kibana_system, вони можуть надати ширший доступ, оскільки доступ користувача kibana_system обмежується моніторинговими API та індексом .kibana.

Дії при доступі

Після забезпечення доступу до Kibana рекомендується виконати кілька дій:

• Дослідження даних з Elasticsearch повинно бути пріоритетом.

• Можливість управління користувачами, включаючи редагування, видалення або створення нових користувачів, ролей або ключів API, знаходиться в розділі Stack Management -> Users/Roles/API Keys.

• Важливо перевірити встановлену версію Kibana на наявність відомих уразливостей, таких як уразливість RCE, виявлена в версіях до 6.6.0 (Додаткова інформація).

Розгляд SSL/TLS

У випадках, коли SSL/TLS не увімкнено, потенційна можливість витоку чутливої інформації повинна бути ретельно оцінена.

Посилання

• https://insinuator.net/2021/01/pentesting-the-elk-stack/