研究人员已经证明了工作的利用代码,以触发弹药插件中的RCE
GitHub已在GitHub上提供了能够触发Kibana漏洞的漏洞脚本。
关键的安全漏洞,被跟踪为CVE-2019-7609,已被授予CVSS基本得分为10.00 - 漏洞评级量表上最高得分。
Kibana是为Elasticsearch设计的开源数据可视化插件(流行的一部分弹性堆栈,或“麋鹿堆”)。基巴纳5.6.15和6.6.1之前的版本很脆弱。
该漏洞是在2019年2月修补的。安全咨询,问题在于时间内可视化器。
具有访问此功能的攻击者将能够发送精心设计的JavaScript代码执行命令,有可能导致在主机系统上使用Kibana的权限执行任意命令。
环境变量
概念证明代码是由证券安全研究员MichałBentkowski出版的幻灯片甲板为了演讲OWASP波兰日10月14日。
利用该研究的利用代码于10月21日上传到GitHub。
在博客文章,Bentkowski指出,时间函数中的原型污染使控制环境变量成为可能。
结合一个名为“ Canvas”的容易出错的菜单条目,该条目提示脆弱的基巴纳版本尝试产生一个新变量,可以创建反向外壳并利用它以实现远程代码执行(RCE)。
从每日Swig中阅读更多安全漏洞新闻beplay2018官网
根据可安排的研究人员,二进制搜索表明有超过4,200个公共木屋实例,许多人仍在运行脆弱版本,包括6.2.4、6.3.2和6.3.1。
Tenable的研究工程经理Scott Caveza告诉他说:“虽然攻击需要访问Kibana,但攻击者可能会滥用此缺陷,以在主机上产生反向外壳。”每日swbeplay2018官网ig。
“根据Kibana过程的权限,这可以使攻击者完全控制主机。”
“即使对主机的控制有限,通过反向外壳,攻击者也可以利用他们对主机的控制来探测网络上的其他主机,并从折衷的基巴纳主机对其进行启动攻击。” Caveza补充说。
鼓励用户升级到Kibana版本5.6.15或6.6.1。另外,可以通过设置禁用时间时间在kibana.yml配置文件。
Bentkowski告诉Bentkowski:“我认为最普遍的[攻击]场景是在没有身份验证的情况下使Kibana打开(在互联网上或在互联网上)。”每日swbeplay2018官网ig。
“设置[A]强密码或添加其他一些身份验证方法应强烈限制攻击的风险。Kibana默认情况下缺乏身份验证,需要手动配置。”
