ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2025-17 Vulnerabilidad Crítica en Elastic Kibana parcheada

Producto(s) afectado(s): 

  • Kibana:
  • Versiones 8.15.0 a 8.17.0: explotable por usuarios con el rol ‘Viewer’​
  • Versiones 8.17.1 y 8.17.2: explotable por usuarios con privilegios específicos:​ ‘fleet-all’, ‘integrations-all’, ‘actions:execute-advanced-connectors’.

Descripción

Se ha identificado una vulnerabilidad crítica en Kibana, designada como CVE-2025-25015, con una puntuación CVSS de 9.9. Esta vulnerabilidad surge de un problema de contaminación de Object.prototype del JavaScript (Prototype pollution attack) que puede ser explotado mediante la carga de archivos especialmente diseñados y solicitudes HTTP específicas. La explotación exitosa permite a los atacantes ejecutar código arbitrario en los sistemas afectados.

La vulnerabilidad surge debido a una mala sanitización y validación de entradas dentro del módulo de integración de Kibana. Un atacante autenticado con ciertos privilegios puede enviar cargas útiles diseñadas específicamente para manipular objetos JavaScript y sus prototipos, lo que puede provocar una modificación involuntaria de las estructuras internas de datos de la aplicación.

El ataque implica:

  1. Carga de archivos maliciosos en Kibana con contenido diseñado para explotar el fallo de contaminación de prototipos.
  2. Envío de solicitudes HTTP especialmente manipuladas que pueden aprovechar el fallo para ejecutar código arbitrario en el servidor de Kibana.
  3. Escalada de privilegios y persistencia mediante la manipulación de objetos internos para acceder a funciones restringidas de Kibana o modificar su comportamiento normal.

Este problema puede ser utilizado por atacantes para ejecutar comandos en el sistema operativo subyacente, tomar control del servidor Kibana y potencialmente afectar a otros sistemas en el entorno donde Kibana esté desplegado.

 

Mitigación

Como medida adicional, se puede deshabilitar temporalmente el Asistente de Integración agregando la configuración xpack.integration_assistant.enabled: false en el archivo kibana.yml. Además, se aconseja limitar los privilegios de los usuarios en Kibana y Elasticsearch, asegurándose de que solo los roles estrictamente necesarios tengan acceso a funciones críticas. Como medida adicional, se deben monitorear los registros de Kibana y Elasticsearch en busca de actividad sospechosa que pueda indicar intentos de explotación.

Solución

Para solucionar esto, se recomienda actualizar inmediatamente a la versión 8.17.3 donde se ha abordado esta vulnerabilidad de Kibana.

Para más información sobre la actualización y ver cual actualización se aplica a cada versión vulnerable, puede dirigirse al siguiente enlace: 

Upgrade Kibana | Kibana Guide [8.17] | Elastic

Información adicional:

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.