Lỗ hổng thực thi mã từ xa trong Kibana được Elastic khắc phục khẩn cấp

Tran Hoang PhongTran Hoang Phong
3 min read

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Kibana – một nền tảng trực quan hóa dữ liệu phổ biến dành cho Elasticsearch. Lỗ hổng này, được theo dõi với mã CVE-2025-25012, xuất phát từ vấn đề ô nhiễm nguyên mẫu (prototype pollution). Điều này có thể cho phép tin tặc thực thi mã độc trên hệ thống bị ảnh hưởng, gây rủi ro lớn cho các tổ chức đang sử dụng Kibana để phân tích và giám sát dữ liệu.

Chi tiết lỗ hổng

  • Định danh lỗ hổng: CVE-2025-25012

  • Mức độ nghiêm trọng: Critical

  • Điểm CVSSv3: 9.9

  • Mô tả chung: Lỗ hổng Prototype Pollution trong Kibana có thể dẫn đến việc thực thi mã tùy ý thông qua tải lên tệp độc hạicác yêu cầu HTTP được thiết kế đặc biệt.

  • Phiên bản bị ảnh hưởng:

    • Trong các phiên bản Kibana >=8.15.0 đến <8.17.1, lỗ hổng này có thể bị khai thác bởi người dùng có vai trò Viewer.

    • Trong các phiên bản Kibana 8.17.1 và 8.17.2, chỉ những người dùng có vai trò chứa tất cả các quyền sau mới có thể khai thác lỗ hổng này:

      • fleet-all

      • integrations-all

      • actions:execute-advanced-connectors

Mức độ ảnh hưởng

Kibana là một công cụ quan trọng đối với nhiều tổ chức, đặc biệt trong các lĩnh vực giám sát thông tin theo thời gian thực, phân tích bảo mật và trí tuệ kinh doanh (BI). Chính vì vậy, lỗ hổng này trở thành mục tiêu hàng đầu của tin tặc, bởi nó có thể bị khai thác để thực thi mã độc trên hệ thống.

Mối đe dọa từ lỗ hổng này càng trở nên nghiêm trọng khi các tài khoản có quyền hạn thấp cũng có thể bị khai thác làm điểm xâm nhập ban đầu. Điều này đồng nghĩa với việc ngay cả những người dùng chỉ có quyền xem dữ liệu trong Kibana cũng có thể vô tình trở thành backdoor cho tin tặc. Nếu hệ thống bị xâm nhập, hậu quả có thể bao gồm rò rỉ dữ liệu, chiếm quyền kiểm soát hệ thống hoặc gián đoạn toàn bộ hoạt động. Điều này không chỉ gây ảnh hưởng trực tiếp đến doanh nghiệp mà còn tạo điều kiện cho các cuộc tấn công tiếp theo.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống lỗ hổng này:

  • Cập nhật hệ thống: Nhanh chóng nâng cấp Kibana lên phiên bản mới nhất để khắc phục lỗ hổng bảo mật.

  • Quản lý quyền hạn: Kiểm tra và hạn chế quyền truy cập của người dùng, chỉ cấp quyền khi thực sự cần thiết.

  • Giám sát hoạt động: Theo dõi lưu lượng mạng và nhật ký hệ thống để phát hiện dấu hiệu khai thác lỗ hổng sớm.

  • Nhận thức bảo mật: Đào tạo nhân viên về nguy cơ từ lỗ hổng và các phương thức tấn công có thể xảy ra.

  • Tăng cường phòng thủ: Áp dụng các biện pháp bảo vệ như tường lửa, IDS/IPS và kiểm tra an ninh định kỳ.

Tham khảo

0
Subscribe to my newsletter

Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.

kibanavulnerabilityRCECVEthreat intelligence

Written by

Tran Hoang Phong
Tran Hoang Phong

Just a SOC Analysis ^^