Miles de instancias de Kibana desprotegidas exponen datos de Elastic Search
A día de hoy, la cantidad de información existente en el internet es muy extensa y agobiante, para cualquier organización es de vital importancia tener estos datos protegidos, pues de otra forma serían expuestos a un sinfín de cibercriminales.
Durante el año pasado se conoció que más de la mitad de los casos en los que hubo ataque hacia base de datos como MongoDB, CouchDB y Elasticsearch no contaban con siquiera contraseña.
Los manejadores de bases de datos anteriormente expuestos han sido objeto de atención en estos últimos meses por diferentes compañías de ciberseguridad.
Muchos son los cibercriminales que se dedican a detectar brechas de seguridad dentro de las bases de datos de complejos sistemas para explotar la información que tienen dentro de ellas y con suerte sacar provecho de la ocasión.
Aunque el tema de la inseguridad en las bases de datos no es nuevo, se ha creado un nuevo foco de atención dentro de la comunidad de cibernautas debido a que Kibana.
Kibana se representa como una plataforma para el análisis de datos, simplemente es una aplicación web utilizada por cientos de miles de analistas.
Fue desarrollada para entender la “Big Data” mediante gráficas y otras herramientas.
Esta aplicación web trabaja con la tecnología de Elasticsearch a tiempo real, la misma puede representar los datos en gráficos, tablas y mapas.
Cuando se es instalada en el localhost trae por defecto la utilización del puerto 5601 como método de seguridad. Puede ser modificado para funcionar con conexiones externas.
Son cuentan más de 26 000 instancias de Kibana que están expuestas en Internet
Una cifra alarmante si tomamos la condición de que son muchos institutos corporativos (bancos, compañías electromotrices, corporaciones privadas, institutos y más).
El informe fue publicado alguien que escribe desde el anonimato de su cuenta de Twitter llamado @infoSecIta, el primero en reportarlo.
Resaltó que estas instancias están totalmente desprotegidas y que cualquiera podría acceder a la información que contienen.
El gran problema de todo esto es que Kibana no dispone de herramientas ni niveles de seguridad para los inicios de sesión.
Se puede utilizar tecnología de terceros como SearchGuard para imponer la seguridad, pero incluso así todavía no se resuelve el problema por completo.
Dentro del informe se resaltó:
Incluso si el servidor está totalmente configurado a nivel de seguridad, y ElasticSearch configurado para que haga conexión con el servidor local 127.0.0.1 o localhost, cualquier aplicación Kibana que conecte sobre el stack de Elasticsearch puede estar comprometiéndose a fallas de autentificación, destacó InfoSecIta
Por otra parte se critica mucho el hecho de que inicialmente la aplicación no posea una configuración inicial de seguridad en materia de permisos de usuarios.
Todos los permisos de usuarios están configurados para que puedan acceder a la información.
@InfoSecIta destacó que encontró una gran variedad de instancias Kibana que estaban comprometidas y pertenecían a bancos, hospitales, universidades y grandes corporaciones.
Servicios en la nube alojan estas instancias, la solución para parar los ataques es rápida…
También servicios de la nube como: Amazon, Alibaba, Microsoft Azure y Google Cloud alojaban instancias que estaban expuestas a cualquier persona del internet.
Esta falla de seguridad da paso para que cualquier cibercriminal inyecte código JavaScript para manipular la información que esté dentro de las instancias de Kibana.
Para parar la amenaza o dar una solución de primer nivel; es necesario que todo aquellos administradores coloquen una contraseña a su instancia expuesta.
Adicionalmente se pueden monitorear los servidores que ya la tengan como medida de haber otro fallo en la seguridad.
Por último, recuerda actualizar la última versión no solo de Kibana, sino de cualquier software que utilices, evitará que tengas filtraciones en tus aplicaciones o sistemas informáticos.
