漏洞预警Kibana < 6.6.0 代码执行漏洞

Posted 2021-04-21 深信服千里目安全实验室

2019年10月17日，深信服安全团队监测到Kibana < 6.6.0代码执行漏洞的攻击数据。攻击者能够通过构造恶意的节点环境变量来执行任意代码，从而实现完全远程接管整个服务器的目的，该漏洞利用方式较为简单，危害性较大。

漏洞名称：Kibana < 6.6.0 代码执行漏洞

威胁等级：高危

影响范围：Kibana < 6.6.0

漏洞类型：代码执行

利用难度：简单

Kibana组件介绍

Kibana 是为 Elasticsearch设计的开源分析和可视化平台。用户可以使用 Kibana 来搜索、查看存储在 Elasticsearch 索引中的数据并与之交互，并且可以很容易实现高级的数据分析和可视化，以图标的形式展现出来。用户可以在大量数据之上创建条形图，折线图和散点图，或饼图和地图。

Kibana还提供了一个称为Canvas的演示工具，用户可以利用该工具来创建幻灯片平台，并且直接从Elasticsearch中获取实时数据。并且Elasticsearch，Logstash和Kibana的组合可以作为数据服务产品。Logstash向Elasticsearch提供输入流以进行存储和搜索，而Kibana则访问数据以进行可视化。

漏洞描述

该漏洞存在于Kibana节点的环境变量中，攻击者能够通过污染的节点环境变量来构造远程代码执行攻击，然后通过进一步的渗透攻击，从而实现完全远程接管整个服务器的目的，该漏洞利用方式较为简单，危害性较大。

漏洞复现

千里目实验室通过DNS-Log复现该漏洞：

影响范围

通过网络空间搜索引擎可以得知，在全球范围内，对互联网开放的Kibana网站有近8万个，目前受影响的版本为：Kibana < 6.6.0。

深信服解决方案

【深信服安全云眼】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发的第一时间就完成从云端下发本地检测更新，部署云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户开启安全防御模块，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

修复建议

https://elasticsearch.cn/

时间轴

 

 

2019/10/17

网上流传Kibana < 6.6.0 代码执行漏洞攻击数据

2019/10/17 

深信服千里目安全实验室完成复现分析并发布预警以及解决方案