成千上万未授权的Kibana正对Elasticsearch造成重大安全威胁

iso60001  1812天前

22.png

在当今世界,所有和“数据”有关的事务都是任何公司团体的重中之重。但如果不对数据加以保护,它很可能就会成为犯罪分子的刺向你的利剑。

近期,越来越多MongoDB,CouchDB和Elasticsearch的安全问题被曝出,吸引了众多安全公司和媒体的关注。

在过去一年中,超过一半的大规模数据泄露事件均是由于数据库服务器的配置存在缺陷所导致的,任何人都可以在没有密码的情况下访问这些服务器。

而且,现在网络犯罪分子已不满足于寻找单纯的未授权漏洞,他们也开始密切关注其他切入点,例如,暴露在公网上的成千上万个不安全的Kibana实例。

Kibana是一个开源的数据分析和可视化平台,旨在与Elasticsearch协同工作,帮助分析师通过图形的方式来理解复杂的数据流动。

Kibana拥有一个基于浏览器的管理界面,可实时从Elasticsearch中获取数据,然后执行高级数据分析,最后将结果以图表,表格和地图的形式呈现出来。

在默认设置下,Kibana会开放在端口5601上,但某些开发人员可能会更改端口。

在互联网上发现了超过26,000个Kibana实例

根据一位匿名IT专业人士和来自@InfoSecIta的报告,目前有超过26,000个Kibana实例在互联网上公开,而且不幸的是,其中大多数Kibana实例都有安全漏洞。

这是因为Kibana本身没有任何安全性设置,例如session管理等。尽管管理员可以手动配置第三方插件(如Search Guard)来启用身份验证,但这就显得比较繁琐。

“即使你的Elasticsearch服务器是超级安全而且配置完美,但配置不当的Kibana很可能会成为攻击者的突破口,例如,Kibana经常出现的未授权漏洞就可直接访问Kibana管理页面(具有管理员权限),这使得攻击者从不同的角度窥探Elasticsearch,“InfoSecIta[表示](https://medium.com/@InfoSecIta/kibana-the-new-toy-for-pentesters-bughunters-hackers-e72048bd98b0)。

在默认配置下,Kibana就可以访问Elasticsearch中的所有数据。

InfoSecIta告诉Hacker News,他发现许多网络上开放的Kibanas实例都属于大型公司团体——从在线学习平台到银行系统,从停车管理系统到医院大学。

“我发现很多大公司拥有自己的Kibana。其中一个是涉及汽车产品的大型公司(例如车载摄像头)。它的Kibana服务器上有他们在全球销售的每一个摄像头的所有数据,”InfoSecIta表示。

“其中所记载的相机的日志/调试/状态等各种数据都是很有价值的。我还发现了一个来自亚洲大型证券交易所的Kibana实例,现在仍然可以随意访问。”

根据shodan的显示,对网络开放最多的Kibana实例的国家中,美国(8311)在名列前茅,其次是中国(7282),德国(1709),然后是法国,有1152个。

该报告还显示,在亚马逊,阿里巴巴,微软Azure和谷歌云的云服务上托管着大量对公网开放的Kibana实例。

而且这26000多个Kibana实例中,大量都运行着过时的软件,这些过时的软件隐藏着大量安全漏洞,甚至包括任意文件包含。

此外还有允许远程攻击者执行任意javascript代码的高危漏洞,这最终可导致远程命令执行。

以上这一切,对于用Kibana处理重要​​数据的公司来说,就是一场噩梦。

为了防御这种安全威胁,我们需要及时启用身份验证,使用复杂密码,同时别忘了将所有软件更新到最新版本。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/04/kibana-data-security.html

最新评论

昵称
邮箱
提交评论