Kibana 未授权访问漏洞
Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据。Kibana与Elasticsearch的交互方式是以各种不同的图表、表格、地图等直观地展示数据,从而达到高级的数据分析与可视化的目的。
Elasticsearch、Logstash和Kibana这三个技术就是我们常说的ELK技术栈,可以说这三个技术的组合是大数据领域中一个很巧妙的设计。一种很典型的MVC思想,模型持久层,视图层和控制层。Logstash担任控制层的角色,负责搜集和过滤数据。Elasticsearch担任数据持久层的角色,负责储存数据。而我们这章的主题Kibana担任视图层角色,拥有各种维度的查询和分析并使用图形化的界面展示存放在Elasticsearch中的数据。
漏洞信息
Kibana如果允许外网访问且没有做安全登录认证,就会被外部任意访问,查看所有数据,造成数据泄露。在默认配置下,Kibana就可以访问Elasticsearch中的所有数据。
漏洞复现
步骤一:使用以下Fofa语句搜索Kibana产品…并打开页面
"kibana" && port="5601'
步骤二:直接访问Kibana的页面且无需账号密码可以登陆进入界面.
#拼接路径
HTTP://{IP}/app/kibana#/
漏洞修复
- 1.升级Kibana到最新版本,升级地址如下https://www.elastic.co/cn/downloads/kibana。
- 在kibana所在的服务器上安装nginx服务,利用nginx的转发指令实现,需要输入账号密码才可以访问页面。
- 如果正常业务中 kibana 服务需要被其他服务器来访问,可以通过 iptables 策略,仅允许指定的 IP来访问服务。