Уязвимости Kibana могут позволить злоумышленникам удаленно выполнить произвольный код

Kibana, популярный инструмент визуализации и исследования данных, используемый с Elasticsearch, выявил две критические уязвимости, затрагивающие его.
Эти уязвимости, CVE-2024-37288 и CVE-2024-37285, позволяют злоумышленникам выполнять произвольный код, обнуляя сериализацию YAML.
Недостаткам присвоен высокий уровень серьезности, что подчеркивает необходимость немедленных действий со стороны затронутых пользователей.
CVE-2024-37288: Эксплойт через Amazon Bedrock Connector.
Первая уязвимость, CVE-2024-37288, затрагивает Kibana версии 8.15.0. Это вызвано ошибкой последовательной потери в Amazon Bedrock Connector, одном из встроенных инструментов искусственного интеллекта Elastic Security.
Когда Kibana пытается проанализировать документ YAML, содержащий созданную полезную нагрузку, это может привести к выполнению произвольного кода.
Затронутые пользователи
Эта уязвимость особенно актуальна для пользователей, настроивших коннектор Amazon Bedrock. Уязвимость затрагивает не всех пользователей Kibana, но те, кто использует эту конкретную интеграцию, подвергаются большему риску.
Выполнение произвольного кода означает, что потенциальные злоумышленники могут получить контроль над затронутой системой, вызывая повреждение данных, сбои системы или другие злонамеренные действия.
Устранить слабость
Компания Elastic выпустила Kibana 8.15.1 для устранения этой уязвимости. Пользователям рекомендуется выполнить обновление до этой версии, чтобы снизить риск.

Обходной путь для тех, кто не может выполнить обновление немедленно, включает в себя отключение помощника интеграции путем добавления следующей строки в файл конфигурации kibana.yml:
xpack.integration_assistant.enabled: ложь
Эта мера помогает снизить риск до тех пор, пока не будет реализовано полное обновление. Однако важно расставить приоритеты при обновлении до последней версии, чтобы обеспечить комплексную защиту.
CVE-2024-37285: эксплойт, зависящий от привилегий.
Вторая уязвимость, CVE-2024-37285, затрагивает более широкий диапазон версий Kibana от 8.10.0 до 8.15.0. Как и в случае с первой проблемой, эта уязвимость также предполагает сериализацию YAML, но для ее использования требуется более конкретный набор условий.
Эксплуатационные требования
Чтобы успешно использовать CVE-2024-37285, злоумышленник должен обладать комбинацией специальных привилегий индексов Elasticsearch и привилегий Kibana. Обязательные индексы Elasticsearch включают в себя:

• .kibana_ingest* права записи в системные индексы
• Флагallow_restricted_indices установлен в значение true.
  Кроме того, злоумышленникам необходима одна из следующих привилегий Kibana:
• Привилегия «Все» в разделе «Флот».
• Права на чтение или все привилегии в разделе «Интеграция».
• Доступ к привилегиям настройки автопарка через токен сервисной учетной записи Fleet Server.
  Эти условия означают, что уязвимы только пользователи с определенными конфигурациями и уровнями привилегий, но потенциальное воздействие остается серьезным.
  Рекомендуемые действия
  Как и в случае с первой уязвимостью, рекомендуется обновить Kibana до версии 8.15.1. Это обновление устраняет проблему десериализации и повышает общую безопасность.
  Учитывая сложность привилегий, необходимых для эксплуатации, организациям следует пересмотреть и усилить свои конфигурации привилегий, чтобы минимизировать воздействие.
  Серьезность и уровень воздействия уязвимостей
  Обе уязвимости были оценены как критические, что отражает их потенциал нанесения значительного ущерба. CVE-2024-37288 имеет оценку CVSS v3.1 9,9, а CVE-2024-37285 — 9,1.
  Эти оценки указывают на высокую вероятность эксплуатации и серьезные последствия, в том числе на конфиденциальность, целостность и доступность. Организации, использующие уязвимые версии Kibana, должны действовать быстро, чтобы внедрить рекомендуемые обновления и меры по устранению проблем.
  Выполнение произвольного кода означает, что потенциальные злоумышленники могут выполнить вредоносный код, который приведет к несанкционированному доступу, краже данных или сбою в работе служб.
  Обнаружение этих критических уязвимостей в Kibana подчеркивает важность поддержания актуального программного обеспечения и регулярной проверки конфигураций безопасности.
  Хотя Elastic предоставляет решения и средства смягчения последствий, в конечном итоге пользователи несут ответственность за безопасность своих собственных систем. В эпоху все более изощренных киберугроз крайне важно знать об уязвимостях и быстро принимать меры безопасности.
  Организациям также следует рассмотреть возможность внедрения дополнительных мер безопасности, таких как системы сегментации сети и обнаружения вторжений, для дальнейшей защиты информационных систем и информационных ресурсов.