Miles de implementaciones de Kibana usando Elasticsearch expuestas en línea

Trabajar con grandes grupos de datos sin tomar las medidas necesarias puede representar un riesgo enorme para cualquier organización. Acorde a expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética (IICS), las bases de datos desprotegidas aumentan de modo considerable las posibilidades de que una compañía sea víctima de robo de datos.

Por ejemplo, más del 50% de los casos de robo de datos registrados en 2018 se originaron de implementaciones de bases de datos no protegidas, en otras palabras, implementaciones a las que cualquier usuario con conocimientos mínimos podría tener acceso, incluso sin necesidad de una contraseña.

Las bases de datos de una organización pueden contener información extremadamente sensible, mencionan los expertos de la escuela de hackers éticos; es por ello que los actores de amenazas han comenzado a enfocar sus esfuerzos en encontrar puntos de acceso vulnerables o desprotegidos. Recientemente han surgido reportes sobre algunas instancias desprotegidas de Kibana expuestas en Internet, situación que pone en riesgo las operaciones de múltiples compañías.

Kibana es una plataforma de análisis y visualización de código abierto diseñada para operar con Elasticsearch; Kibana facilita que los analistas de datos entiendan rápida y fácilmente los flujos y registros complejos de grandes grupos de datos usando expresiones gráficas.

Acorde a los reportes de los expertos de la escuela de hackers éticos, existen alrededor de 25 mil instancias de Kibana activas en línea; de éstas, la mayoría está expuesta sin protecciones adecuadas. Aparentemente, esto se debe a que Kibana no cuenta con opciones de seguridad incorporadas, como la administración de sesiones, aunque estas funciones pueden ser integradas a través de servicios prestados por terceros.

Una parte considerable de las cerca de 25 mil instancias de Kibana que existen trabajan con servidores ejecutando versiones de software obsoletas que contienen una vulnerabilidad de inclusión arbitraria de archivos en el complemento de la consola.   

Presuntamente, la vulnerabilidad permite a los hackers ejecutar código javascript malicioso de forma remota, lo que podría permitirles ejecutar comandos arbitrarios en el sistema host. Debido a que una gran cantidad de servidores no cuentan con métodos de autenticación, este podría ser el primer paso para que se presente un robo masivo de datos, una de las situaciones más críticas que podría enfrentar una compañía.

Para mitigar los riesgos, los expertos recomiendan proteger las instancias expuestas con métodos de autenticación de terceros al tiempo que se realicen labores de seguimiento y análisis de datos para prevenir o detectar posibles filtraciones.

(Visited 143,1 times)