Date de divulgation: 8 août 2024
CVE-ID et score CVSS: CVE-2024-37287 : CVSS 9.9
Nom et description du problème: Vulnérabilité RCE d'altération du prototype d'Elastic Kibana
Description de l'actif: L'instance Elastic Kibana est un puissant outil web de visualisation et d'exploration des données qui fournit un aperçu en temps réel des données indexées dans le cluster Elasticsearch. Il s'agit d'un composant essentiel de la pile Elastic (anciennement connue sous le nom de pile ELK) qui permet aux utilisateurs de créer des tableaux de bord interactifs, d'effectuer des requêtes complexes et d'analyser de grands ensembles de données par le biais de visualisations telles que des diagrammes, des cartes et des graphiques.
Impact de la vulnérabilité: Un acteur menaçant ayant accès aux fonctions des connecteurs ML et Alerting et un accès en écriture aux index ML internes pourrait déclencher une vulnérabilité d'altération du prototype, permettant l'exécution de code arbitraire.
Détails de l'exploitation: Les vulnérabilités proviennent de failles d'altération du prototype dans le connecteur ML et Alerting de Kibana. Un attaquant peut injecter des charges utiles malveillantes dans les index ML internes qui sont ensuite exécutés sur le serveur, permettant l'exécution de code à distance.
Il n'y a actuellement aucun PoC public.
Disponibilité des correctifs: Elastic a publié des correctifs pour remédier à ces vulnérabilités. Les instances auto-hébergées doivent être mises à jour immédiatement avec la dernière version corrigée.
Censys Perspective :
À l'heure où nous écrivons ces lignes, Censys observe 5 183 dispositifs exposés en ligne.
Pour identifier les instances Kibana potentiellement vulnérables, les requêtes Censys suivantes peuvent être utilisées (veuillez noter qu'elles ne filtrent pas par version) :
Références :