Elasticsearch 核心插件Kibana 本地文件包含漏洞分析(CVE-2018-17246)

 不久前Elasticsearch发布了最新安全公告, Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在严重的本地文件包含漏洞可导致拒绝服务攻击、任意文件读取攻击、配合第三方应用反弹SHELL攻击,下文笔者对其漏洞背景、攻击原理和行为进行分析和复现。

0X01 影响范围

Elasticsearch Kibana是荷兰Elasticsearch公司的一套开源的、基于浏览器的分析和搜索Elasticsearch仪表板工具,作为Elasticsearch的核心组件,Kibana可作为产品或服务提供,并与各种系统,产品,网站和企业中的其他Elastic Stack产品配合使用。 由于Kibana在大数据领域用途较为广泛,此次漏洞影响范围较大, Shodan搜索结果如图

0x02 漏洞场景

笔者选择Kibana-6.1.1-linux-x86_64.tar.gz版本,搭建过程不表,网上很多参考资料

2.1、拒绝服务

拒绝服务笔者选择/cli_plugin/index.js演示,攻击向量如下

GET请求发出去后客户端打不开应用页面,在服务端Kibana进程退出,应用服务挂掉具体看下图

2.2、任意文件读取

文件读取笔者选择/etc/passwd演示,攻击向量如下

2.3、配合第三方应用

通常情况下Kibana与其他的应用程序一起部署,如果应用程序可以上传或者写入Javascript文件的话,攻击者可以通过Nodejs创建一个Reverse Shell,内容如下

路径遍历允许攻击者访问Kibana服务器任何文件的位置,如下

Nc反弹监听得到交互会话

0X03 漏洞分析

漏洞污染点位于 srccore_pluginsconsoleapi_serverserver.js

Apis得到的值传递给赋值参数name,从图上也能看到name变量的内容没有进行任何过滤被引入到require,而require模块在Nodejs里表示加载模块的方式,可以加载核心模块,例如内置的“http”,也可以是包含名为“index.js”这样的文件或目录如果参数以“/”、“./”、”../”开头则函数知道该模块是文件或者文件夹,继续跟进到函数asJson所在的api.js文件中

在同级目录下ES_5_0.js 中有一个这个类的导出实例

总结一下此函数的正常流程是获取导出API类实例并调用函数asJson的JavaScript文件的名称,但是忽略了过滤验证因此我们可以指定任意文件,配合目录跳转遍历就可以实现Kibana服务器上任意文件读取的操作。基于上述的分析很明显Nodejs应用程序需要大量的文件,如果这些文件里包含了process.exit指令,那么就可能关闭Kibana进程并导致拒绝服务攻击,通过搜索找到了三个可能的攻击向量

0x04 一点总结

LFI通常出现在PHP应用中,通样是require这次应用在Nodejs程序中,相信未来还会有更多的Nodejs程序存在这种问题,原因是本地包含漏洞出现了很多年,但依旧有很多软件开发人员和架构师没有考虑到这点,这篇文章很好的说明了Kibana中存在的一个关键LFI漏洞,使得攻击者能够在服务器上运行本地代码,可造成直接的危害就是拒绝服务攻击,若在生产环境下业务实在伤不起,需要引起对Nodejs LFI的重视。

0x05 参考链接

https://github.com/appsecco/vulnerable-apps/tree/master/node-reverse-shell

Download Kibana Free | Get Started Now | Elastic

http://www.cnvd.org.cn/flaw/show/CNVD-2018-23907

CVE -CVE-2018-17246

0x06 欢迎加入我们的知识库

     dot.Net应用安全建设星球是dot.Net安全矩阵星球的卫星星球,我们的定位是帮助企业和研发同学建设和加固.NET应用,对于.NET应用安全风险我们结合自己的最佳实践提供全面有效的修复解决方案!

     经过运营团队成员商议一致同意给到师傅们最大优惠力度,提供20元代金卷,只需79元就可以加入我们。

     星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

     星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!

  • 星球全面覆盖 >=12 种.NET下的OWASP漏洞类型,并提供针对这些安全风险的修复方案。

  • 星球提供.NET安全编码规范和安全组件,达到纵深防御的效果!

  • 学会使用.NET代码评估工具,在应用上线前做安全扫描,及时修复代码漏洞。

     加入费用,我们现在提供早鸟价¥79元便可加入,价格随着内容沉淀和成员数量适当提高,越早加入越好。另外随着加入的星友们越来越多,问题也越来越变得多样化,因此星主压力也越来越大,为了保证内容质量的同时,会适当提高门槛,如果你还在犹豫要不要加入星球的话,可以扫码领取优惠卷加入我们,以优惠价(dot.Net安全矩阵粉丝专属福利)加入肯定不亏,期待感兴趣的师傅们加入!

图片