[SECURITY-L] [RNP/CAIS Alerta #0153] Vulnerabilidade no Kibana (Elasticsearch)

Sexta Agosto 16 17:08:52 -03 2024

CAIS-Alerta [16-08-2024] Vulnerabilidade no Kibana (Elasticsearch)

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para uma
vulnerabilidade crítica divulgada recentemente no Kibana. A exploração
bem-sucedida esta vulnerabilidade pode acarretar em execução de código
arbitrário no ambiente.

Kibana é um recurso disponível para o Elasticsearch, que fornece
visualização de dados de fonte aberta, com recursos de visualização em cima
do conteúdo indexado, criando elementos gráficos para visualização dos
dados (painel).

Esta vulnerabilidade foi classificada com pontuação CVSS 9.1.

1) Produtos e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produtos e versões afetadas:

Kibana

Versões 8.x anteriores a 8.14.2,
e versões 7.x de 7.7.0 anteriores a 7.17.23

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-37287

3) Descrição das vulnerabilidades:

Um agente malicioso com acesso aos recursos dos conectores "ML" (machine
learning) e "Alerting", bem como permissão de gravação aos índices internos
de ML, pode acionar uma vulnerabilidade de poluição de protótipo, o que
pode levar à execução de código arbitrário no ambiente explorado.

Esta vulnerabilidade afeta vários ambientes de instalação do Kibana:

- - Instalações Kibana autogerenciadas em sistemas operacionais;
- - Instâncias Kibana autogerenciadas executando a imagem Kibana Docker;
- - Instâncias do Kibana em execução no Elastic Cloud (execução do código é
limitada ao contêiner Kibana Docker);
- - Instâncias do Kibana em execução no Elastic Cloud Enterprise (ECE);
- - Instâncias do Kibana em execução no Elastic Cloud on Kubernetes (ECK).

Nos ambientes onde o Kibana é executado em contêineres Docker, a execução
do código é limitada ao contêiner devido às proteções do seccomp-bpf, e/ou
seccomp-bpf e AppArmor.

4) Mitigação e correções disponíveis:

Foram disponibilizadas versões com correções da vulnerabilidade, 8.14.2 e
7.17.23. O CAIS recomenda fortemente a atualização dos ambientes afetados.

5) Mais informações:
https://nvd.nist.gov/vuln/detail/CVE-2024-37287
https://discuss.elastic.co/t/kibana-8-14-2-7-17-23-security-update-esa-2024-22/364424/1
https://threatprotect.qualys.com/2024/08/08/elasticsearch-kibana-arbitrary-code-execution-vulnerability-cve-2024-37287/

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20240816/adaf6bc9/attachment-0001.html>