Milhares de Instâncias Kibana Desprotegidas Expondo Bancos de Dados Elasticsearch

No mundo de hoje, os dados desempenham um papel crucial no sucesso de qualquer organização, mas, se deixados desprotegidos, pode ser o sonho de um cibercriminoso se tornar realidade.

Bases de dados mal protegidas do MongoDB, CouchDB e Elasticsearch recentemente receberam muito mais atenção das empresas de segurança cibernética e da mídia ultimamente.

Mais da metade dos casos conhecidos de violações maciças de dados no ano passado se originaram de servidores de banco de dados não protegidos que eram acessíveis a qualquer pessoa sem qualquer senha.

Como o banco de dados de uma organização contém seus dados mais valiosos e facilmente exploráveis, os cibercriminosos também começaram a prestar mais atenção para encontrar outros pontos de entrada inseguros.

Embora os problemas com bancos de dados desprotegidos não sejam novidade e sejam amplamente discutidos na Internet, quero que a comunidade de segurança cibernética e os especialistas do setor prestem atenção a milhares de instâncias inseguras do Kibana que estão expostas na Internet, representando um enorme risco para muitas empresas.

O Kibana é uma plataforma de análise e visualização de código aberto projetada para trabalhar com o Elasticsearch. A plataforma facilita que os analistas de dados compreendam, de maneira rápida e fácil, fluxos e logs de big data complexos por meio de representação gráfica.

O Kibana vem como uma interface baseada em navegador que foi projetada para buscar dados dos bancos de dados do Elasticsearch em tempo real e, em seguida, executar uma análise de dados avançada para apresentá-los em uma variedade de gráficos, tabelas e mapas.

Após a instalação, as configurações padrão configuram o Kibana para ser executado no host local na porta 5601, mas alguns administradores podem optar por alterar essa configuração para torná-lo acessível remotamente em qualquer lugar da Internet.

Mais de 26.000 instâncias de kibana encontradas expostas na Internet

De acordo com um novo relatório compartilhado por um profissional de TI que deseja permanecer anônimo e twittar de @InfoSecIta, existem mais de 26.000 instâncias de Kibana atualmente expostas na Internet e, infelizmente, a maioria delas está desprotegida.

Isso porque o Kibana não vem com nenhuma segurança integrada, como o gerenciamento de sessão, embora os administradores ainda possam configurá-lo manualmente para usar plugins de terceiros, como o Search Guard, para permitir a autenticação.

“Mesmo que seu servidor seja super seguro e bem configurado, e seu Elasticsearch esteja vinculado a 127.0.0.1 ou localhost, ou qualquer tipo de endereço de loopback, um aplicativo Kibana desprotegido sendo executado em cima da pilha elasticsearch pode comprometer a operatividade do servidor e permitir não autenticado os usuários acessam o painel do Kibana (com privilégios de administrador), oferecendo assim uma forte base em novos ataques de escalonamento de privilégios para entidades maliciosas, ” explica o InfoSecIta .

Também deve ser notado que as instâncias do Kibana não são, por padrão, configuradas para acessar qualquer coisa disponível nos bancos de dados do Elasticsearch; em vez disso, os administradores configuram quais dados os usuários podem acessar pelo painel do Kibana.

A InfoSecIta disse ao The Hacker News que ele encontrou muitas instâncias abertas de Kibanas que pertencem a grandes entidades – desde plataformas de e-learning a sistemas bancários, gerenciamento de estacionamentos a hospitais e universidades.

“Encontrei muitas instâncias de Kibana pertencentes a grandes empresas. Uma delas é líder na construção de tecnologia automotiva (como câmeras conectadas, etc.). Seu servidor Kibana estava expondo todos os dados vindos de todas as câmeras vendidas em todo o mundo”, disse ele. Hacker News em uma entrevista por e-mail.

“Todos os tipos de dados provenientes dos logs / debug / status de tal câmera estavam disponíveis. Eu também encontrei uma pilha Kibana de uma grande bolsa de valores asiática, que ainda está disponível desprotegida na natureza.”

Segundo shodan, com um número máximo de instâncias abertas de Kibana, os Estados Unidos (8.311) estão no topo da lista de países afetados, seguidos pela China (7.282), Alemanha (1.709) e depois pela França com 1.152 instâncias abertas.

O relatório também revela que um número máximo de instâncias expostas do Kibana está hospedado em serviços de nuvem da Amazon, Alibaba, Microsoft Azure e Google Cloud.

O que é preocupante? Dessas 26.000 instâncias do Kibana, um grande número de servidores está executando versões desatualizadas do software que contém uma vulnerabilidade arbitrária de inclusão de arquivos em seu plug-in do console.

A falha supostamente permite que atacantes remotos executem códigos maliciosos de javascript, o que poderia permitir que invasores executassem comandos arbitrários no sistema host.

Esta é uma notícia preocupante, e dado o fato de que um grande número de servidores não tem nenhuma autenticação em primeiro lugar, pode ser um pesadelo para as organizações armazenarem seus dados importantes e sensíveis nesses servidores.

Para atenuar essa ameaça, recomenda-se que as organizações protejam suas instâncias expostas com uma senha, enquanto monitoram os servidores existentes para garantir que não estejam vazando dados particulares.

Além disso, por último, mas não menos importante, pelo amor de Deus, atualize o software para a versão mais recente.

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !