Elastic, Elasticsearch ile birlikte kullanılan popüler veri görselleştirme ve keşif aracı Kibana’yı etkileyen iki kritik güvenlik açığını açıkladı.
CVE-2024-37288 ve CVE-2024-37285 kodlu bu güvenlik açıkları, saldırganların YAML serileştirme sorunları yoluyla keyfi kod yürütmesine olanak tanıyor.
Kusurlara yüksek önem puanı verilmesi, etkilenen kullanıcıların derhal harekete geçmesi gerektiğinin altını çiziyor.
CVE-2024-37288: Amazon Bedrock Bağlayıcısı Üzerinden İstismar
İlk güvenlik açığı olan CVE-2024-37288, özellikle Kibana 8.15.0 sürümünü etkiliyor. Elastic Security’nin yerleşik yapay zeka araçlarından biri olan Amazon Bedrock Connector’daki bir serileştirme hatasından kaynaklanıyor.
Kibana, hazırlanmış bir yük içeren bir YAML belgesini ayrıştırmaya çalıştığında, bu durum keyfi kod yürütülmesine yol açabilir.
Etkilenen Kullanıcılar
Bu güvenlik açığı özellikle Amazon Bedrock bağlayıcısını yapılandıran kullanıcılar için endişe vericidir. Bu kusur tüm Kibana kullanıcılarını etkilemez, ancak bu belirli entegrasyonu kullananlar önemli risk altındadır.
Keyfi kod yürütme potansiyeli, saldırganların etkilenen sistem üzerinde kontrol sahibi olmalarına, veri ihlallerine, sistem güvenliğinin ihlal edilmesine veya diğer kötü amaçlı faaliyetlere yol açabilmelerine neden olabilir.
Azaltma Stratejileri
Elastic, bu güvenlik açığını gidermek için Kibana sürüm 8.15.1’i yayınladı. Kullanıcıların riski azaltmak için bu sürüme yükseltmeleri şiddetle tavsiye edilir.
Hemen yükseltme yapamayanlar için geçici bir çözüm olarak, kibana.yml yapılandırma dosyasına aşağıdaki satırı ekleyerek entegrasyon yardımcısını devre dışı bırakabilirsiniz:
xpack.integration_assistant.enabled: false
Bu önlem, tam bir yükseltme gerçekleştirilene kadar riski azaltmaya yardımcı olabilir. Ancak, kapsamlı korumayı sağlamak için en son sürüme yükseltmeyi önceliklendirmek çok önemlidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
CVE-2024-37285: Ayrıcalığa Bağlı Sömürü
İkinci güvenlik açığı olan CVE-2024-37285, 8.10.0’dan 8.15.0’a kadar daha geniş bir Kibana sürümü yelpazesini etkiliyor. İlk soruna benzer şekilde, bu güvenlik açığı da YAML serileştirmesini içeriyor, ancak istismar için daha belirli bir koşul kümesi gerektiriyor.
Kullanım Gereksinimleri
CVE-2024-37285’i başarıyla istismar etmek için, bir saldırganın belirli Elasticsearch dizin ayrıcalıkları ve Kibana ayrıcalıklarının bir kombinasyonuna sahip olması gerekir. Gerekli Elasticsearch dizin izinleri şunları içerir:
- .kibana_ingest* sistem dizinlerinde yazma ayrıcalığı
- allow_restricted_indices bayrağı doğru olarak ayarlandı
Ayrıca saldırganların aşağıdaki Kibana ayrıcalıklarından herhangi birine sahip olması gerekir:
- Fleet altında “Hepsi” ayrıcalığı
- Entegrasyon altında, “Oku” veya “Tümü” ayrıcalığı
- Filo Sunucusunun hizmet hesabı belirteci aracılığıyla filo kurulum ayrıcalığına erişim
Bu ön koşullar, yalnızca belirli yapılandırmalara ve ayrıcalık seviyelerine sahip kullanıcıların savunmasız olduğu anlamına geliyor, ancak potansiyel etki hala ciddi.
Önerilen Eylemler
İlk güvenlik açığında olduğu gibi, Kibana sürüm 8.15.1’e yükseltme önerilir. Bu güncelleme, serileştirme sorununu ele alır ve genel güvenliği artırır.
İstismar için gereken ayrıcalıkların karmaşıklığı göz önüne alındığında, kuruluşların maruziyeti en aza indirmek için ayrıcalık yapılandırmalarını da gözden geçirmeleri ve sıkılaştırmaları gerekir.
Şiddet ve Etki
Her iki güvenlik açığı da önemli zararlara yol açma potansiyellerini yansıtacak şekilde kritik olarak derecelendirildi. CVE-2024-37288’in CVSS v3.1 puanı 9,9 iken CVE-2024-37285’in puanı 9,1’dir.
Bu puanlar, gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkiler de dahil olmak üzere yüksek bir istismar olasılığını ve ciddi sonuçları göstermektedir. Etkilenen Kibana sürümlerini kullanan kuruluşlar, önerilen güncellemeleri ve hafifletmeleri uygulamak için hızla hareket etmelidir.
Keyfi kod yürütme potansiyeli, saldırganların kötü amaçlı kod yürütebileceği ve bunun da yetkisiz erişime, veri hırsızlığına veya hizmetlerin kesintiye uğramasına yol açabileceği anlamına gelir.
Kibana’daki bu kritik güvenlik açıklarının ortaya çıkması, güncel yazılımlara sahip olmanın ve güvenlik yapılandırmalarını düzenli olarak gözden geçirmenin önemini vurgulamaktadır.
Elastic çözümler ve azaltmalar sağlamış olsa da, kullanıcıların nihayetinde sistemlerinin korunmasını sağlama sorumluluğu vardır. Siber tehditlerin giderek daha karmaşık hale geldiği bir çağda, güvenlik açıkları hakkında bilgi sahibi olmak ve yamaları derhal uygulamak hayati önem taşır.
Kuruluşlar ayrıca ortamlarını daha fazla korumak için ağ segmentasyonu ve saldırı tespit sistemleri gibi ek güvenlik önlemlerini uygulamayı da değerlendirmelidir.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!