Mobile-Menu

CVSS 9.9 und 9.1 Kritische Schwachstellen in Kibana ermöglichen Malware-Angriffe

Von Thomas Joos 2 min Lesedauer

Anbieter zum Thema

Fsas Technologies GmbH
SEPPmail - Deutschland GmbH

Zwei kritische Schwachstellen in der Open-Source-Analyse- und -Vi­su­a­li­sie­rungs­plattform Kibana bedrohen die Sicherheit der Systeme. Die Entwickler stellen bereits Updates für die beiden Sicherheitslücken CVE-2024-37288 und CVE-2024-37285 zur Verfügung. Diese sollten schnellstmöglich installiert werden, da Angreifer Malware übertragen könnten.

Sicherheitsupdates in der Version 8.15.1 von Kibana beheben zwei kritische Schwachstellen, die zu einer Ausnutzung von YAML-Deserialisierungs­fehlern führen können.(Bild: Dall-E / KI-generiert)
Sicherheitsupdates in der Version 8.15.1 von Kibana beheben zwei kritische Schwachstellen, die zu einer Ausnutzung von YAML-Deserialisierungs­fehlern führen können.
(Bild: Dall-E / KI-generiert)

In einer Warnmeldung informieren die Entwickler von Kibana über die beiden Schwachstellen CVE-2024-37288 und CVE-2024-37285.

Neue Kibana-Version schließt mehrere Schwachstellen

Kibana in der Version 8.15.1 enthält Sicherheitsupdates, die zwei kritische Schwachstellen beheben, die zu einer Ausnutzung von YAML-Deserialisierungs­fehlern führen können. Die Schwachstellen ermöglichen die Ausführung von beliebigem Code auf betroffenen Systemen. Die erste Schwachstelle (ESA-2024-27/CVE-2024-37288) betrifft Nutzer, die den Amazon Bedrock Connector in Kombination mit den integrierten KI-Tools von Elastic Security verwenden. Hierbei kann eine präparierte YAML-Datei, die in Kibana verarbeitet wird, zu einer unautorisierten Code-Ausführung führen. Diese Sicherheitslücke betrifft ausschließlich Kibana in der Version 8.15.0 und hat eine CVSSv3.1-Bewertung von 9.9, was sie als kritisch einstuft. Die einzige empfohlene Lösung besteht darin, ein Upgrade auf Kibana 8.15.1 durchzuführen. Nutzer, die aus bestimmten Gründen nicht aktualisieren können, haben die Möglichkeit, das Integrations-Assistant-Feature zu deaktivieren, indem sie die Option xpack.integration_assistant.enabled: false in der Konfigurationsdatei kibana.yml setzen. Dies verhindert zumindest die Ausführung des anfälligen Codes über diesen speziellen Vektor.

Die zweite Schwachstelle (ESA-2024-28/CVE-2024-37285) betrifft eine größere Anzahl von Kibana-Versionen, nämlich alle Versionen zwischen 8.10.0 und 8.15.0. Auch hier handelt es sich um einen YAML-Deserialisierungs­fehler, der die Ausführung von Code erlaubt. Um diese Schwachstelle erfolgreich auszunutzen, benötigt ein Angreifer jedoch erweiterte Berechtigungen sowohl auf der Seite von Elasticsearch als auch in Kibana. Es müssen Schreibrechte auf systemrelevante Elasticsearch-Indizes wie .kibana_ingest* vorhanden sein, wobei die Option allow_restricted_indices aktiviert sein muss. Zudem muss der Angreifer über Kibana-Berechtigungen verfügen, die entweder unter Fleet oder Integration gewährt wurden. Speziell betrifft dies die „All“-Rechte unter Fleet sowie „Read“- oder „All“-Rechte im Integrationsbereich. Besonders kritisch ist der Zugriff auf das „fleet-setup“-Privileg, welches über den Service-Account-Token des Fleet-Servers gewährt wird. Diese erweiterte Berechtigungskombination stellt zwar eine Hürde dar, dennoch erhält diese Schwachstelle eine CVSSv3.1-Bewertung von 9.1 und sollte als äußerst kritisch betrachtet werden.

(ID:50164256)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte