Podstawowe informacje

Kibana jest znana ze swojej zdolności do wyszukiwania i wizualizacji danych w Elasticsearch, zazwyczaj działając na porcie 5601. Służy jako interfejs do monitorowania, zarządzania i funkcji bezpieczeństwa klastra Elastic Stack.

Zrozumienie uwierzytelniania

Proces uwierzytelniania w Kibana jest ściśle związany z danymi uwierzytelniającymi używanymi w Elasticsearch. Jeśli uwierzytelnianie w Elasticsearch jest wyłączone, do Kibana można uzyskać dostęp bez żadnych danych uwierzytelniających. Z drugiej strony, jeśli Elasticsearch jest zabezpieczony danymi uwierzytelniającymi, te same dane są wymagane do uzyskania dostępu do Kibana, co utrzymuje identyczne uprawnienia użytkowników na obu platformach. Dane uwierzytelniające można znaleźć w pliku /etc/kibana/kibana.yml. Jeśli te dane nie dotyczą użytkownika kibana_system, mogą one oferować szersze prawa dostępu, ponieważ dostęp użytkownika kibana_system jest ograniczony do monitorowania API i indeksu .kibana.

Działania po uzyskaniu dostępu

Po zabezpieczeniu dostępu do Kibana, zaleca się podjęcie kilku działań:

• Priorytetem powinno być eksplorowanie danych z Elasticsearch.
• Możliwość zarządzania użytkownikami, w tym edytowanie, usuwanie lub tworzenie nowych użytkowników, ról lub kluczy API, znajduje się w sekcji Zarządzanie Stosem -> Użytkownicy/Role/Klucze API.
• Ważne jest, aby sprawdzić zainstalowaną wersję Kibana pod kątem znanych luk w zabezpieczeniach, takich jak luka RCE zidentyfikowana w wersjach przed 6.6.0 (Więcej informacji).

Rozważania dotyczące SSL/TLS

W przypadkach, gdy SSL/TLS nie jest włączone, potencjał wycieku wrażliwych informacji powinien być dokładnie oceniony.

Odniesienia

• https://insinuator.net/2021/01/pentesting-the-elk-stack/