IT

Vulnerabilitate critică de securitate cibernetică identificată la nivelul unor versiuni KIBANA

Curierul Național
Autor Curierul Național

Sursa: dnsc.ro

CVE-2025-25015 este o vulnerabilitate critică de tip Remote Code Execution (RCE) care afectează platforma Kibana, utilizată pentru analiza și vizualizarea datelor Elasticsearch. Exploatarea acestei vulnerabilități permite unui atacator autentificat să ruleze cod arbitrar pe serverul vulnerabil, ceea ce poate duce la compromiterea completă a instanței Kibana și la acces neautorizat la datele gestionate de Elasticsearch.

Această vulnerabilitate a fost identificată în versiunile 8.15.0 – 8.17.2 ale platformei anterior menționate și a fost corectată în versiunea 8.17.3, conform unui anunț de securitate emis de Elastic. Problema derivă dintr-o componentă afectată de prototype pollution, care permite manipularea neautorizată a fișierelor încărcate și exploatarea cererilor HTTP specifice.

DETALII TEHNICE

Vector de atac: Vulnerabilitatea poate fi exploatată prin încărcarea unui fișier malițios, urmată de trimiterea unor cereri HTTP manipulate, ceea ce permite atacatorului să influențeze execuția codului în cadrul platformei Kibana.

Privilegii obținute: Atacatorul poate obține capabilități extinse asupra sistemului afectat, incluzând execuția de cod arbitrar la nivelul procesului Kibana. Acest lucru permite manipularea datelor, accesul neautorizat la informații sensibile și potențial compromiterea infrastructurii Elasticsearch.

CONDIȚII DE EXPLOATARE

În versiunile 8.15.0 – 8.17.0, vulnerabilitatea poate fi exploatată de utilizatori care au rolul „Viewer”.

În versiunile 8.17.1 și 8.17.2, exploit-ul este posibil doar de către utilizatori ale căror roluri conțin simultan următoarele privilegii:

  • fleet-all
  • integrations-all
  • actions:execute-advanced-connectors

PRODUSE AFECTATE

  • Kibana 15.0 – 8.17.2
  • Instanțele de Elasticsearch pot fi indirect afectate, întrucât Kibana este utilizat pentru gestionarea și vizualizarea datelor stocate în Elasticsearch.

CONFIGURAȚIE NECESARĂ PENTRU EXPUNERE

Vulnerabilitatea are un impact critic asupra sistemelor care îndeplinesc următoarele condiții:

- Publicitate -
  • Expunere la internet: Instanțele Kibana accesibile din rețele externe cresc riscul de exploatare.
  • Utilizatori cu privilegii avansate: Sistemele în care utilizatorii au roluri care permit gestionarea de conectori și integrarea cu Fleet sunt mai vulnerabile.
  • Lipsa controalelor de securitate: Dacă nu sunt implementate politici restrictive de acces la instanța Kibana și nu sunt monitorizate cererile HTTP suspecte, sistemul devine o țintă ușoară pentru atacatori.

IDENTIFICAREA SISTEMELOR EXPUSE

Pentru a determina dacă instanțele Kibana sunt vulnerabile:

  • Verificați versiunea de Kibana utilizată (kibana –version sau din UI).
  • Examinați rolurile utilizatorilor, în special dacă aceștia au permisiuni fleet-all, integrations-all și actions:execute-advanced-connectors.
  • Monitorizați logurile Kibana pentru activități suspecte, în special cereri HTTP neobișnuite ce conțin payload-uri care încearcă să modifice configurații sau să execute comenzi.

SCOR DE SEVERITATE

  • CVSS Score: 9 (Critic)

IMPACT

Un atacator care reușește să exploateze această vulnerabilitate poate:

  • Executa un cod arbitrar pe sistemul afectat, obținând control complet asupra acestuia.
  • Accesa și exfiltra date sensibile gestionate în Kibana și Elasticsearch.
  • Modifica configurații critice, inclusiv setările de securitate și autentificare.
  • Lansa atacuri ulterioare asupra altor sisteme conectate, escaladând accesul în infrastructura organizației.

VERSIUNI AFECTATE

  • Kibana 8.15.0 – 8.17.2

VERSIUNI REMEDIATE

  • Kibana 17.3 (conține patch-ul oficial de securitate)

RECOMANDĂRI

Elastic a lansat un update de securitate pentru remedierea acestei vulnerabilități. Se recomandă actualizarea imediată a instanțelor Kibana la versiunea 8.17.3.

Pentru utilizatorii care nu pot face upgrade imediat, Elastic recomandă o măsură de mitigare temporară:

  • Setați opțiunea xpack.integration_assistant.enabled: false în configurația Kibana, pentru a dezactiva funcționalitatea vulnerabilă.

Măsuri suplimentare pentru reducerea riscurilor:

  • Restricționați accesul la interfața Kibana doar pentru adrese IP interne sau utilizatori autorizați.
  • Activați autentificarea multi-factor (MFA) pentru conturile administrative.
  • Monitorizați traficul și logurile Kibana, căutând activități neobișnuite sau cereri HTTP suspecte.
  • Aplicați politici de restricție pe utilizatori, revizuind și eliminând permisiunile inutile.

CVE-2025-25015 reprezintă o amenințare majoră pentru organizațiile care utilizează Kibana, având un potențial ridicat de compromitere a sistemului și de acces neautorizat la date critice. Datorită scorului CVSS de 9.9, această vulnerabilitate trebuie tratată cu maximă prioritate, prin aplicarea patch-ului oficial în versiunea Kibana 8.17.3 și prin implementarea de măsuri de securitate suplimentare.

Organizațiile trebuie să efectueze un audit rapid al versiunilor Kibana implementate și să identifice sistemele expuse. În cazul imposibilității actualizării imediate, trebuie aplicate măsuri de mitigare precum restricționarea accesului și dezactivarea opțiunilor vulnerabile.

Distribuie articolul
Articolul anterior Caricatura zilei
Articolul următor O nouă ediție TEZAUR de luni, 10 martie: Titlurile de stat sunt acum disponibile și pe Ghișeul.ro 
Lăsați un comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-

Ultimele articole

Românii consideră inovația cheia viitorului, iar 8 din 10 o apreciază ca o oportunitate de economisire și creștere a eficienței
Actualitate
Ridicarea sancțiunilor rusești este respinsă de Comisia Europeană, condiție impusă de Kremlin pentru a susține armistițiul la Marea Neagră
Extern
Cele mai relevante voci feminine românești din știința datelor au dezbătut evoluția AI din perspectiva eticii, responsabilității, încrederii și siguranței
Actualitate