Kibana 代码执行漏洞预警

      一、基本原理

Kibana 低于 6.6.0版本存在代码执行漏洞。攻击者利用该漏洞可造成远程代码执行攻击。

      二、攻击原理

Kibana 是为 Elasticsearch设计的开源分析和可视化平台。用户可以使用 Kibana 来搜索、查看存储在 Elasticsearch 索引中的数据并与之交互，并且可以很容易实现高级的数据分析和可视化，以图标的形式展现出来。用户可以在大量数据之上创建条形图，折线图和散点图，或饼图和地图。

Kibana还提供了一个称为Canvas的演示工具，用户可以利用该工具来创建幻灯片平台，并且直接从Elasticsearch中获取实时数据。并且Elasticsearch，Logstash和Kibana的组合可以作为数据服务产品。Logstash向Elasticsearch提供输入流以进行存储和搜索，而Kibana则访问数据以进行可视化。

该漏洞存在于Kibana节点的环境变量中，攻击者能够通过污染的节点环境变量来构造远程代码执行攻击，然后通过进一步的渗透攻击，从而实现完全远程接管整个服务器的目的，该漏洞利用方式较为简单，危害性较大。

      三、影响范围

受影响的版本：

Kibana < 6.6.0

      四、处置建议

目前官方暂未进行安全更新，使用该系统的用户请密切关注官方网站，及时获取安全更新，官方网站地址为：

https://elasticsearch.cn/

      五、参考链接

1) https://slides.com/securitymb/prototype-pollution-in-kibana/#/

2) https://elasticsearch.cn/