Bug d'inclusion de fichier conduisant à l'exécution de code à distance dans Kibana ElasticSearch
CVE-2018-17246
Sources
- https://www.cyberark.com/threat-research-blog/execute-this-i-know-you-have-it/
- https://www.bleepingcomputer.com/news/security/file-inclusion-bug-in-kibana-console-for-elasticsearch-gets-exploit-code/
Risques
Une exploitation de la vulnérabilité peut amener à une exécution de code à distance avec les privilèges du processus Kibana.
Description
Nethanel Coppenhagen de CyberArk Labs a découvert une faille dans l’inclusion de ficher utilisée par le “Console plugin”. Un acteur malveillant avec un accès à l’API de la console Kibana peut envoyer une requête qui essayera d’exécuter du code malveillant. Cela peut lui donner la possibilité d’exécuter des commandes avec les permissions du processus de Kibana sur le server.
Un PoC (proof of concept) a été publié sur Twitter le 17/12/2018. L’existence d’un PoC sur le domaine public confère un caractère d'urgence à la remédiation des systèmes vulnérables.
Actions recommandées
Le CERT.be recommande aux utilisateurs de toujours garder leurs systèmes à jour. Dans ce cas-ci, les utilisateurs devraient mettre à jour Elastic Stack vers les versions 6.4.3 ou 5.6.13.
Les utilisateurs ne pouvant mettre à jour leur système peuvent désactiver la « Console plugin » via le fichier kibana.yml en mettant ou modifiant le paramètre « console.enabled : false ».
De la documentation sur le processus de mise à jour de Kibana est disponible sur le site suivant : https://www.elastic.co/products