สายวิเคราะห์ Data ระวัง ! พบช่องโหว่บน Kibana เปิดช่องให้แฮกเกอร์รันโค้ดที่ไม่ได้รับอนุญาตได้

Data Analyst หรือ นักวิเคราะห์ข้อมูล นั้นมีความจำเป็นที่ต้องใช้เครื่องมือหลายตัวเข้ามาช่วยเหลือในการวิเคราะห์ข้อมูล รวมไปถึงการแปลงข้อมูลเป็นรูปภาพ (Data Visualization) เช่น กราฟ ต่าง ๆ แต่เครื่องมือบางตัวก็มีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถบุกรุกเข้าสู่ระบบได้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีการตรวจพบช่องโหว่บนซอฟต์แวร์ Kibana ซึ่งเป็นซอฟต์แวร์สำหรับใช้งานในการทำ Data Visualization ที่พัฒนาโดยบริษัท Elastic สำหรับการใช้งานร่วมกับ Search Engine ที่มีชื่อว่า Elasticsearch ซึ่งถูกพัฒนาโดยบริษัทเดียวกัน โดยช่องโหว่ที่ถูกตรวจพบเจอนั้นเป็นช่องโหว่ที่เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดที่ไม่ได้รับอนุญาต (Arbitrary Code Execution) ผ่านทางไฟล์ YAML (ภาษาในการจัดการแจกแจงข้อมูลรูปแบบหนึ่ง คล้ายคลึงกับ JSON และ XML) ได้ ซึ่งเป็นการใช้ช่องโหว่จากการทำ Deserialization (กระบวนการย้อนกลับเพื่อให้มีรูปแบบดั้งเดิม) โดยช่องโหว่นั้นมีอยู่ 2 ตัวด้วยกัน นั่นคือ

CVE-2024-37288

ช่องโหว่นี้เกิดขึ้นกับ Kibana เวอร์ชัน 8.15.0 โดยเฉพาะ ซึ่งช่องโหว่ดังกล่าวนั้นมาจากข้อบกพร่องของขั้นตอนการทำ Deserialization ในส่วนของ Amazon Bedrock Connector โดยช่องโหว่จะเปิดขึ้นระหว่างที่ผู้ใช้งานกำลังทำการ Parse ไฟล์ YAML ที่ปนเปื้อนโค้ดแปลกปลอมจากแฮกเกอร์กับระบบดังกล่าวเพื่อทำการปรับแต่งในการใช้งานร่วมกันกับ Kibana อันจะนำไปสู่การเปิดทางให้แฮกเกอร์สามารถทำการรันโค้ดที่ไม่ได้รับอนุญาตได้ และนำไปสู่การขโมยข้อมูลสำคัญ หรือเข้าควบคุมระบบโดยแฮกเกอร์

แต่ข่าวดีก็คือ ช่องโหว่ดังกล่าวนั้นไม่ได้ส่งผลต่อผู้ใช้งาน Kibana ทุกราย เพียงแต่มีความเสี่ยงสำหรับผู้ที่ต้องเข้าใช้งานและทำการปรับแต่ง (Configuration) ในส่วนของ Amazon Bedrock Connector เท่านั้น ซึ่งผู้ใช้งานสามารถอุดช่องโหว่ได้ด้วยการอัปเดตตัวซอฟต์แวร์ขึ้นเป็นเวอร์ชัน 8.15.1 แต่ถ้าใครไม่สามารถอัปเดตได้ ทางผู้พัฒนาได้แนะนำให้ทำการแทรกโค้ดด้านล่างลงไปบนไฟล์ YAML ที่ใช้ในการปรับแต่ง (Configuration File) ที่มีชื่อว่า kibana.yml โดยโค้ดดังล่าวนั้นมีดังนี้

xpack.integration_assistant.enabled: false

CVE-2024-37285

ช่องโหว่นี้จะคล้ายคลึงกับช่องโหว่ตัวก่อน โดยจะส่งผลต่อผู้ใช้งาน Kibana ในเวอร์ชัน 8.10.0 ถึง 8.15.0 ซึ่งช่องโหว่นี้ก็เกี่ยวข้องกับการทำ Deserialization ในส่วนของไฟล์ YAML เช่นเดียวกัน แต่ต่างกับช่องโหว่ข้างต้นตรงที่ การที่แฮกเกอร์จะสามารถใช้งานช่องโหว่ดังกล่าวได้นั้น จะต้องได้รับสิทธิ์ในการใช้งานทั้งส่วนของ Elasticsearch และ Kibana ร่วมกันเสียก่อน ซึ่งจะแบ่งได้ดังนี้

ส่วนสิทธิ์การใช้งานบน Elasticsearch

• สิทธิ์ในการเขียนบน “ดัชนีระบบ” (System Indices) ที่มีชื่อว่า .kibana_ingest*
• Flag ของ allow_restricted_indices ต้องถูกต้องค่าเป็น True

ส่วนสิทธิ์การใช้งานบน Kibana (อันใดอันหนึ่ง)

• ส่วนสิทธิ์การใช้งาน Fleet ต้องได้รับสิทธิ์ระดับ “All”
• ส่วนสิทธิ์การใช้งาน Integration ต้องได้รับสิทธิ์ระดับ “All” หรือ “Read”
• หรือ ได้รับสิทธิ์ในการตั้งค่า Privilege ของ Fleet ผ่านบริการ Fleet Server ด้วยการใช้ Account Token

ด้วยความยุ่งยากของการใช้งานช่องโหว่ดังกล่าว ทำให้ช่องโหว่หลังนั้นมีอันตรายที่น้อยกว่าช่องโหว่ตัวแรก แต่ผู้ใช้งานก็ไม่ควรจะประมาท ซึ่งทาง Elastic นั้นแนะนำให้ผู้ใช้งานอัปเดต Kibana ขึ้นเป็น 8.15.1 โดยไว เพื่อขจัดความเสี่ยงดังกล่าว