Información Básica

Kibana es conocido por su capacidad para buscar y visualizar datos dentro de Elasticsearch, normalmente ejecutándose en el puerto 5601. Sirve como la interfaz para las funciones de monitoreo, gestión y seguridad del clúster de Elastic Stack.

Entendiendo la Autenticación

El proceso de autenticación en Kibana está inherentemente vinculado a las credenciales utilizadas en Elasticsearch. Si la autenticación de Elasticsearch está deshabilitada, Kibana se puede acceder sin ninguna credencial. Por el contrario, si Elasticsearch está asegurado con credenciales, se requieren las mismas credenciales para acceder a Kibana, manteniendo permisos de usuario idénticos en ambas plataformas. Las credenciales pueden encontrarse en el archivo /etc/kibana/kibana.yml. Si estas credenciales no pertenecen al usuario kibana_system, pueden ofrecer derechos de acceso más amplios, ya que el acceso del usuario kibana_system está restringido a las API de monitoreo y al índice .kibana.

Acciones al Acceder

Una vez que se asegura el acceso a Kibana, se aconsejan varias acciones:

• Explorar datos de Elasticsearch debe ser una prioridad.
• La capacidad de gestionar usuarios, incluyendo la edición, eliminación o creación de nuevos usuarios, roles o claves API, se encuentra bajo Gestión de Stack -> Usuarios/Roles/Claves API.
• Es importante verificar la versión instalada de Kibana en busca de vulnerabilidades conocidas, como la vulnerabilidad RCE identificada en versiones anteriores a 6.6.0 (Más Información).

Consideraciones de SSL/TLS

En casos donde SSL/TLS no está habilitado, se debe evaluar minuciosamente el potencial de filtrar información sensible.

Referencias

• https://insinuator.net/2021/01/pentesting-the-elk-stack/