Local File Inclusion bug laat Remote Code Execution toe in Kibana ElasticSearch
CVE-2018-17246
Bronnen
- https://www.cyberark.com/threat-research-blog/execute-this-i-know-you-have-it/
- https://www.bleepingcomputer.com/news/security/file-inclusion-bug-in-kibana-console-for-elasticsearch-gets-exploit-code/
Risico’s
Een successvolle exploitatie van de kwetsbaarheid kan leiden tot het lekken van gegevens en remote code execution in de context van de Kibana gebruiker op de server.
Beschrijving
Nethanel Coppenhagen van CyberArk Labs heeft een local file inclusion kwetsbaarheid ontdekt in de console plugin van Kibana. Dit laat aanvallers toe om bijvoorbeeld de /etc/passwd file uit te lezen. Indien het mogelijk is om data up te loaden naar de server kan dit leiden tot remote code execution in de context van de Kibana gebruiker op de server.
Een proof of concept werd op Twitter gepubliceerd op 17/12/2018. Het bestaan van een publieke PoC verhoogd het risico op een aanval op de kwetsbare server. Zo snel mogelijk patchen is noodzakelijk.
Aanbevolen acties
CERT.be raadt gebruikers aan om hun systemen altijd up to date te houden.
Gebruikers moeten hun Elastic Stack upgraden naar versie 6.4.3 of 5.6.13.
Gebruikers die niet in staat zijn om hun installatie up te graden worden aangeraden om de console plugin uit te schakelen. Dit kan door de parameter “console.enabled: true” in “console.enabled: false” te veranderen in het kibana.yml bestand.
Documentatie over het upgrade process kan gevonden worden op de website van Elastic:
https://www.elastic.co/products