CVE-2024-37287 (CVSS 9.9): Urgent Kibana Patch for Severe Security Vulnerability
2024/08/06 SecurityOnline — Elastic Team は、人気の OSS データ可視化/探索ツール Kibana に対する、重要なセキュリティ・アップデートを発表した。このアップデートは、プロトタイプ汚染の脆弱性 CVE-2024-37287 (CVSS:9.9) に対処したものだ。この欠陥が悪用されると、攻撃者に任意のコードを実行される可能性があり、Kibana の自己管理およびクラウドベース・インスタンスに重大なリスクがもたらされる。
Elastic が開発した Kibana は、Elasticsearch に保存されたデータを分析/可視化するための強力なツールである。それにより、ヒストグラム/折れ線グラフ/円グラフ/マップなどの、多様な可視化オプションを備えた、ユーザー・フレンドリーなインターフェイスが提供される。Kibana を使用するユーザーに提供されるのは、Canvas を用いた詳細なダッシュボードやプレゼンテーションの作成であり、また、機械学習機能を活用することで、データから貴重な洞察を得ることも可能になる。
今回のアップデートで修正された脆弱性 CVE-2024-37287 は、プロトタイプ汚染の欠陥に起因するものであり、任意のコード実行につながる可能性があるという。この脆弱を悪用できる攻撃者は、ML およびアラート・コネクタ機能へのアクセス、および、内部 MLインデックスへの書き込みアクセスを持つユーザーとなる。この欠陥の潜在的な影響は大きく、影響を受ける Kibana インスタンス内で、攻撃者は任意のコードの実行を可能にする。
この脆弱性は、Self-Managed Installation/Docker Image/Elastic Cloud/Elastic Cloud Enterprise (ECE)/Elastic Cloud on Kubernetes (ECK) などの、様々な Kibana のデプロイ・シナリオに影響を与える。特定の環境においては、コンテナ内でのコード実行が制限されているが、悪用のリスクは依然として大きい。
脆弱性 CVE-2024-37287 は、8.14.2 (8.x)/7.17.23 (7.x) 未満のバージョンに存在している。ユーザーは、早急に対処する必要がある。すでに Elastic チームは、この脆弱性が修正された Kibana 8.14.2/7.17.23 をリリースしており、迅速なアップデートをユーザーに対して強く推奨している。
このブログでは珍しい、Elastic Kibana の登場です。さまざまな OSS プロジェクトの隅々にまで、アクセスしていく権限を持っているはずなので、この脆弱性の影響が懸念されます。前回は、2023/06/20 の「3CX のデータ漏洩:Elasticsearch/Kibana のオープンなインスタンスが原因だったのか?」となります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.