数千个未受保护的Kibana实例暴露了Elasticsearch数据库

保护不善的MongoDB、CouchDB和Elasticsearch数据库最近得到了网络安全公司和媒体的更多关注。

在过去一年中，已知的大规模数据泄露案例中，有一半以上来自不安全的数据库服务器，任何人无需密码即可访问这些服务器。

由于一个组织的数据库包含其最有价值且易于利用的数据，网络犯罪分子也开始更加关注寻找其他不安全的入口点。

虽然未受保护的数据库的问题不是新闻，在互联网上得到了广泛讨论，但我希望网络安全社区和行业专家对互联网上暴露的数千个不安全Kibana实例给予一些关注，这些实例对许多公司构成了巨大风险。

Kibana是一个开源分析和可视化平台，旨在与Elasticsearch合作。该平台使数据分析人员能够通过图形表示轻松快速地理解复杂的大数据流和日志。

Kibana是一个基于浏览器的界面，旨在实时从Elasticsearch数据库获取数据，然后执行高级数据分析，以各种图表、表格和地图的形式呈现数据。

安装后，默认设置会将Kibana配置为在端口5601的本地主机上运行，但一些管理员可能会选择更改此设置，使其可以从Internet的任何位置远程访问。

在互联网上发现26000多个Kibana实例

根据一位希望匿名的IT专业人士分享的一份新报告和@InfoSecIta的推文，目前有26000多个Kibana实例在互联网上公开，不幸的是，据报道，其中大多数都没有受到保护。

这是因为Kibana中没有任何安全性，比如会话管理，尽管管理员仍然可以手动将其配置为使用第三方插件（如Search Guard）来启用身份验证。

“即使您的服务器超级安全且配置良好，并且您的Elasticsearch绑定到127.0.0.1或localhost，或任何类型的环回地址，在Elasticsearch堆栈上运行的未受保护的Kibana应用程序可能会损害您的服务器可操作性，并允许未经身份验证的用户访问Kibana dashboard（具有管理员权限），从而为恶意实体的进一步权限升级攻击提供了强有力的立足点，”InfoSecIta解释道。

还应注意，Kibana实例在默认情况下没有配置为访问Elasticsearch数据库中的任何可用内容，相反，管理员配置用户可以通过Kibana dashboard访问的数据。

InfoSecIta告诉黑客新闻，他发现了许多属于大型实体的开放Kibanas实例—；从电子学习平台到银行系统，从停车管理到医院和大学。

“我发现了很多大公司拥有的Kibana实例。其中一个是汽车技术领域的领导者（如联网摄像头等）。Kibana服务器公开了他们在全球销售的每台摄像头的所有数据，”他在电子邮件采访中告诉《黑客新闻》。

“从这些摄像头的日志/调试/状态中获得的各种数据都是可用的。我还从一家大型亚洲证券交易所找到了一个Kibana堆栈，它在野外仍然没有受到保护”。

根据shodan的数据，美国（8311人）在受影响国家名单中排名第一，其次是中国（7282人）、德国（1709人），然后是法国（1152人）。

该报告还显示，在亚马逊、阿里巴巴、微软Azure和谷歌云的云服务上托管的Kibana实例最多。

什么让人担心？在这26000多个Kibana实例中，大量服务器正在运行过时版本的软件，该软件的控制台插件中包含任意文件包含漏洞。

据称，该漏洞允许远程攻击者执行恶意javascript代码，这可能会让攻击者在主机系统上运行任意命令。

这是一个令人不安的消息，考虑到大量服务器一开始没有任何身份验证，对于在这些服务器上存储重要和敏感数据的组织来说，这可能是一场噩梦。

为了减轻这种威胁，建议企业使用密码保护其公开的实例，同时监视现有服务器，以确保它们不会泄露任何私人数据。

还有，最后但并非最不重要的一点，看在上帝的份上，把软件更新到最新版本。