1.9 KiB
Informações Básicas
Kibana oferece capacidades de pesquisa e visualização de dados para dados indexados no Elasticsearch. O serviço roda por padrão na porta 5601. Kibana também atua como a interface de usuário para monitoramento, gerenciamento e segurança de um cluster Elastic Stack.
Autenticação?
A autenticação no Kibana está vinculada às credenciais do Elasticsearch. Se a autenticação estiver desativada no Elasticsearch, o Kibana também deve ser acessível sem credenciais. Caso contrário, as mesmas credenciais válidas para o Elasticsearch devem funcionar ao fazer login no Kibana. Os direitos dos usuários no Elasticsearch são os mesmos que no Kibana.
Você pode encontrar credenciais no arquivo de configuração /etc/kibana/kibana.yml. Se essas credenciais não forem para o usuário kibana_system, deve-se tentar usá-las para acessar mais dados. Elas podem ter mais direitos do que o usuário kibana_system, que só tem acesso à API de monitoramento e ao índice .kibana.
Tendo Acesso?
Ao ter acesso ao Kibana, você pode fazer várias coisas:
- Tentar acessar dados do Elasticsearch
- Verificar se você pode acessar o painel de usuários e se pode editar, excluir ou criar novos usuários, papéis ou Chaves de API (Gerenciamento de Pilha -> Usuários/Papéis/Chaves de API)
- Verificar a versão atual para vulnerabilidades (Havia uma vulnerabilidade de RCE em 2019 para versões do Kibana < 6.6.0 [2])
SSL/TLS Habilitado?
Se SSL/TLS não estiver habilitado, deve-se avaliar se informações sensíveis podem ser expostas.