1.9 KiB
Información Básica
Kibana proporciona capacidades de búsqueda y visualización de datos para los datos indexados en Elasticsearch. El servicio se ejecuta por defecto en el puerto 5601. Kibana también actúa como la interfaz de usuario para monitorear, administrar y asegurar un clúster Elastic Stack.
¿Autenticación?
La autenticación en Kibana está vinculada a las credenciales de Elasticsearch. Si la autenticación está deshabilitada en Elasticsearch, Kibana también debería ser accesible sin credenciales. De lo contrario, las mismas credenciales válidas para Elasticsearch deberían funcionar al iniciar sesión en Kibana. Los derechos de los usuarios en Elasticsearch son los mismos que en Kibana.
Es posible encontrar credenciales en el archivo de configuración /etc/kibana/kibana.yml. Si esas credenciales no son para el usuario kibana_system, se debe intentar usarlas para acceder a más datos. Podrían tener más derechos que el usuario kibana_system, que solo tiene acceso a la API de monitoreo y al índice .kibana.
¿Teniendo Acceso?
Cuando se tiene acceso a Kibana, se pueden hacer varias cosas:
- Intentar acceder a datos de Elasticsearch
- Verificar si se puede acceder al panel de usuarios y si se puede editar, eliminar o crear nuevos usuarios, roles o claves API (Gestión de pila -> Usuarios/Roles/Claves API)
- Verificar la versión actual en busca de vulnerabilidades (Hubo una vulnerabilidad de RCE en 2019 para las versiones de Kibana < 6.6.0 [2])
¿SSL/TLS Habilitado?
Si SSL/TLS no está habilitado, se debe evaluar si se puede filtrar información sensible.