Kibana Güvenlik Açıkları Saldırganların Keyfi Kod Çalıştırmasına İzin Veriyor

   Eylül 9, 2024  Posted in CyberSecurityNews


Kibana Güvenlik Açıkları Saldırganların Keyfi Kod Çalıştırmasına İzin Veriyor

Elastic, Elasticsearch ile birlikte kullanılan popüler veri görselleştirme ve keşif aracı Kibana’yı etkileyen iki kritik güvenlik açığını açıkladı.

CVE-2024-37288 ve CVE-2024-37285 kodlu bu güvenlik açıkları, saldırganların YAML serileştirme sorunları yoluyla keyfi kod yürütmesine olanak tanıyor.

DÖRT

Kusurlara yüksek önem puanı verilmesi, etkilenen kullanıcıların derhal harekete geçmesi gerektiğinin altını çiziyor.

CVE-2024-37288: Amazon Bedrock Bağlayıcısı Üzerinden İstismar

İlk güvenlik açığı olan CVE-2024-37288, özellikle Kibana 8.15.0 sürümünü etkiliyor. Elastic Security’nin yerleşik yapay zeka araçlarından biri olan Amazon Bedrock Connector’daki bir serileştirme hatasından kaynaklanıyor.

Kibana, hazırlanmış bir yük içeren bir YAML belgesini ayrıştırmaya çalıştığında, bu durum keyfi kod yürütülmesine yol açabilir.

Etkilenen Kullanıcılar

Bu güvenlik açığı özellikle Amazon Bedrock bağlayıcısını yapılandıran kullanıcılar için endişe vericidir. Bu kusur tüm Kibana kullanıcılarını etkilemez, ancak bu belirli entegrasyonu kullananlar önemli risk altındadır.

Keyfi kod yürütme potansiyeli, saldırganların etkilenen sistem üzerinde kontrol sahibi olmalarına, veri ihlallerine, sistem güvenliğinin ihlal edilmesine veya diğer kötü amaçlı faaliyetlere yol açabilmelerine neden olabilir.

Azaltma Stratejileri

Elastic, bu güvenlik açığını gidermek için Kibana sürüm 8.15.1’i yayınladı. Kullanıcıların riski azaltmak için bu sürüme yükseltmeleri şiddetle tavsiye edilir.

Hemen yükseltme yapamayanlar için geçici bir çözüm olarak, kibana.yml yapılandırma dosyasına aşağıdaki satırı ekleyerek entegrasyon yardımcısını devre dışı bırakabilirsiniz:

xpack.integration_assistant.enabled: false

Bu önlem, tam bir yükseltme gerçekleştirilene kadar riski azaltmaya yardımcı olabilir. Ancak, kapsamlı korumayı sağlamak için en son sürüme yükseltmeyi önceliklendirmek çok önemlidir.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

CVE-2024-37285: Ayrıcalığa Bağlı Sömürü

İkinci güvenlik açığı olan CVE-2024-37285, 8.10.0’dan 8.15.0’a kadar daha geniş bir Kibana sürümü yelpazesini etkiliyor. İlk soruna benzer şekilde, bu güvenlik açığı da YAML serileştirmesini içeriyor, ancak istismar için daha belirli bir koşul kümesi gerektiriyor.

Kullanım Gereksinimleri

CVE-2024-37285’i başarıyla istismar etmek için, bir saldırganın belirli Elasticsearch dizin ayrıcalıkları ve Kibana ayrıcalıklarının bir kombinasyonuna sahip olması gerekir. Gerekli Elasticsearch dizin izinleri şunları içerir:

  • .kibana_ingest* sistem dizinlerinde yazma ayrıcalığı
  • allow_restricted_indices bayrağı doğru olarak ayarlandı

Ayrıca saldırganların aşağıdaki Kibana ayrıcalıklarından herhangi birine sahip olması gerekir:

  • Fleet altında “Hepsi” ayrıcalığı
  • Entegrasyon altında, “Oku” veya “Tümü” ayrıcalığı
  • Filo Sunucusunun hizmet hesabı belirteci aracılığıyla filo kurulum ayrıcalığına erişim

Bu ön koşullar, yalnızca belirli yapılandırmalara ve ayrıcalık seviyelerine sahip kullanıcıların savunmasız olduğu anlamına geliyor, ancak potansiyel etki hala ciddi.

Önerilen Eylemler

İlk güvenlik açığında olduğu gibi, Kibana sürüm 8.15.1’e yükseltme önerilir. Bu güncelleme, serileştirme sorununu ele alır ve genel güvenliği artırır.

İstismar için gereken ayrıcalıkların karmaşıklığı göz önüne alındığında, kuruluşların maruziyeti en aza indirmek için ayrıcalık yapılandırmalarını da gözden geçirmeleri ve sıkılaştırmaları gerekir.

Şiddet ve Etki

Her iki güvenlik açığı da önemli zararlara yol açma potansiyellerini yansıtacak şekilde kritik olarak derecelendirildi. CVE-2024-37288’in CVSS v3.1 puanı 9,9 iken CVE-2024-37285’in puanı 9,1’dir.

Bu puanlar, gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkiler de dahil olmak üzere yüksek bir istismar olasılığını ve ciddi sonuçları göstermektedir. Etkilenen Kibana sürümlerini kullanan kuruluşlar, önerilen güncellemeleri ve hafifletmeleri uygulamak için hızla hareket etmelidir.

Keyfi kod yürütme potansiyeli, saldırganların kötü amaçlı kod yürütebileceği ve bunun da yetkisiz erişime, veri hırsızlığına veya hizmetlerin kesintiye uğramasına yol açabileceği anlamına gelir.

Kibana’daki bu kritik güvenlik açıklarının ortaya çıkması, güncel yazılımlara sahip olmanın ve güvenlik yapılandırmalarını düzenli olarak gözden geçirmenin önemini vurgulamaktadır.

Elastic çözümler ve azaltmalar sağlamış olsa da, kullanıcıların nihayetinde sistemlerinin korunmasını sağlama sorumluluğu vardır. Siber tehditlerin giderek daha karmaşık hale geldiği bir çağda, güvenlik açıkları hakkında bilgi sahibi olmak ve yamaları derhal uygulamak hayati önem taşır.

Kuruluşlar ayrıca ortamlarını daha fazla korumak için ağ segmentasyonu ve saldırı tespit sistemleri gibi ek güvenlik önlemlerini uygulamayı da değerlendirmelidir.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!



Source link