요약


- Kibana :  오픈소스 분석, 시각화 플랫폼으로 Elasticsearch와 연동됨. 

              데이터 분석 시 복잡한 빅데이터 스트림과 로그를 쉽고 빠르게 시각화 하는데 사용 됨. 

              브라우저 기반 인터페이스로 구성되어있으며 Elasticsearch 데이터베이스에서 실시간으로 데이터를 수집하여         

              다양한 형태의 차트, 테이블, 맵등으로 시각화 기능을 수행함.

              초기 설정으로 5601포트에서 사용함.


- 이슈 : 26,000개의 Kibana 인스턴스가 인터넷에 노출 되어 있으며, 대부분 보안이 되지 않고있음   

          https://www.shodan.io/report/Q1dTCJhM                                   

 

Kibana - Shodan

Have any questions or suggestions? Please contact us any time at the following locations: E-Mail: support@shodan.io Twitter: @shodanhq

www.shodan.io

          (Kibana에 자체 보안 기능이 탑재 되어있지 않기 때문일 것으로 추정하나 자체 보안 툴이 존재 하지 않더라도 

           사용자는 서드파티 플러그인(ex, Search Guard) 등을 이용해 인증 보안 기능을 강화할 수 있음)


- 취약점 : 원격 공격자는 악의적인 자바스크립트 코드를 실행하여 호스트 시스템에 임의의 명령어를 실행 할 수 있음.
       

            (1) 서버의 보안이 최적화되어 있을지라도, Elasticsearch가 127.0.0.1/localhost/기타 루프백 주소에 연결이 되어 있고, 

                 elasticsearch 스택에 Kibana 앱이 운영된다면 서버의 가용성에 영향을 미치거나, 비인가 사용자가                         

                 admin권한으로 Kibana 대시보드에 접근할 수 있음. 악성 요소에 대한 추가 권한 상승 등을 초래할 수 있음

                   -> Kibana 인스턴스는 Elasticsearch의 모든 데이터베이스에 대한 접근 가능이 기본으로 설정 되어 있지 

                        않음. Admin이 데이터 사용자의 Kibana 대시보드를 이용한 데이터 접근 권한을 부여하게 되어있음.

             (2) Apache 와 Ngnix 역 프록시 설정이 잘못되어 로그인 페이지가 포트 80번과 8080번으로 제공될 시, 쉽게 우회 

                  가능하며, 접근 제한이 적절하게 이루어지지 않은 경우 Kibana 앱 포트(초기: 포트 5601)로 직접 접속이 가능 함.

- 노출 인스턴스 관련 분야 : e-learning 플랫폼, 금융 시스템, 주차 관리, 병원 관리, 대학교 관리 시스템, 자동 감시 카메라,       

                                    아시아 증권 거래서 등 다양함. 


- 국가별 노출 : Shodan 검색 결과에 따르면 주요 10개국 - 미국(8,311), 중국 (7,282), 독일 (1,709), 프랑스(1,152),                   

                    아일랜드(990), 싱가포르(759), 네덜란드(740), 한국(620), 일본(599), 인도(569)


- 호스팅 서비스별 : 노출 호스트는 대부분 클라우드 서비스를 이용함 – Amazon, Alibaba, Microsoft Azure, Google Cloud

- 영향성 : 많은 수의 서버가 인증없이도 접근이 가능할 수 있어 중요 데이터베이스의 보안이 취약할 수 있음.

- 대응방안 : 최신 소프트웨어로 업데이트 및 노출된 인스턴스에 대해 비밀번호 설정 등을 통해 보안을 강화하고,                   

               기존 서버에 대해 자료 유출이 이루어지지 않는지 모니터링이 필요함.


참고자료

취약점 분석 원문 : https://medium.com/@InfoSecIta/kibana-the-new-toy-for-pentesters-bughunters-hackers-e72048bd98b0
출처 : https://thehackernews.com/2019/04/kibana-data-security.html

저작자표시 비영리 변경금지

'Vulnerability' 카테고리의 다른 글

[2019.04.29] WebLogic RCE 제로데이 취약점(CVE-2019-2725)  (0) 2019.04.29
[2019.04.16] Apache Tomcat 원격 코드 실행 취약점 (CVE-2019-0232)  (0) 2019.04.16
[2019.04.01] TP-Link SR20 스마트 홈 라우터 로컬 코드 실행 취약점  (0) 2019.04.02
[2019.03.20] CUJO Smart 방화벽 원격 코드 실행 취약점 (CVE-2018-3968-9, CVE-2018-4012, CVE-2018-4031  (0) 2019.03.26
[2019.03.11] 차량 스마트 알람 시스템 해킹에 취약  (0) 2019.03.21

+ Recent posts

티스토리툴바