Neue Sicherheitslücke im Elastic Stack: Codeschmuggel in Kibana

Im Herzen des Elastic Stacks wurde eine brisante Sicherheitslücke lokalisiert, präziser formuliert in der Kibana-Komponente. Ein Pufferüberlauf der entsteht, wenn der Chrome-Browser zu Grunde geht, ermöglicht es Übeltätern, über eine manipulierte HTML-Seite eigenen Code einzuschmuggeln. Die Tatsache, dass Kibana eine "headless" Version von Chromium nutzt also eine Ausführung ohne visuelle Benutzeroberfläche zeichnet für dieses Sicherheitsdilemma verantwortlich.



Betroffenheit von Kibana-Installationen


Nicht sämtliche Ausführungen von Kibana stehen im Schatten dieser Sicherheitsproblematik. Nur bestimmte selbstverwaltete Installationsarten die auf Betriebssystemen wie CentOS, Debian und RHEL fußen und deren Chromium-Sandbox gemäß Elastic-Empfehlungen ausgeschaltet wurde, sind involviert. Mit einer Einstufung des Risikos bei nahezu dem Maximalwert, nämlich 9,9 von 10 nach CVSS, wurde die Gefahr als CVE-2023-7024 katalogisiert.



Sicherheitsschritte für Kibana-Docker & Elastic Cloud


Bedrohungen durch die Einspeisung von Code lauern ähnlich wie in den Kibana-Docker-Ausführungen und der Elastic Cloud-SaaS-Lösung. Defensivmaßnahmen wie AppArmor und seccomp-bpf wurden jedoch eingeführt um potenzielle Schäden einzudämmen. Auch Elastic Cloud on Kubernetes, vorausgesetzt, es besteht Unterstützung für seccomp-bpf ab Kubernetes 1.19, sieht sich in ähnlicher Weise geschützt.



Empfehlungen für ein sicheres Kibana


Um den entdeckten Mangel zu adressieren, drängt Elastic Administratoren die Versionen 7.17.17 und 8.12.0 oder älter betreiben, zu dringenden Aktualisierungen auf die Versionen 7.17.18 oder 8.12.1. Sollte eine unmittelbare Aktualisierung nicht durchführbar sein, raten Sie dazu, das Reporting-Modul in Kibana temporär abzuschalten. Detaillierte Anleitungen hierzu liefert der Sicherheitshinweis von Elastic. Das Update auf 8.12.1 nimmt sich außerdem einer zusätzlichen Sicherheitslücke an die Nutzern bei ausgewählten Bedingungen übergroße Rechte gewährt. Diese Schwachstelle, eingegangen unter der Kennnummer CVE-2024-23446, wird als mittelgradiges Risiko mit einem CVSS-Score von 6,5 bewertet.



Elastic's Evolution und externe Konflikte


Elastic wie Anbieter einer Palette von Instrumenten zur Datenanalyse & Visualisierung in Echtzeit, bildet die Infrastruktur für diverse Produkte wie das SIEM Wazuh. Aufgrund der Abkehr vom Open-Source-Modell hin zu einer proprietären Lizenz gab es in der Vergangenheit Kontroversen mit Amazon. Diese Entwicklung löste eine Auseinandersetzung über das Lizenzmodell zwischen Elastic und dem Tech-Giganten aus.






Kommentare


Anzeige