【安全资讯】Kibana严重漏洞（CVE-2024-37288, CVE-2024-37285）暴露系统于任意代码执行风险

概要：

Elastic公司近日发布了一则重要安全公告，敦促用户立即更新至Kibana 8.15.1版本。两个严重漏洞（CVE-2024-37288和CVE-2024-37285）可能允许攻击者在受影响的系统上执行任意代码，导致系统完全被攻陷。这些漏洞的存在对全球范围内使用Kibana的数据可视化和分析平台的用户构成了重大威胁。

主要内容：

第一个漏洞CVE-2024-37288是由于Kibana的Amazon Bedrock Connector中的反序列化问题引起的，CVSS评分为9.9（关键）。攻击者可以通过构造恶意的YAML负载来利用此漏洞，导致远程代码执行。特别是那些在Elastic Security内置AI工具中配置了Amazon Bedrock连接器的用户，尤其容易受到攻击。

第二个漏洞CVE-2024-37285同样与YAML反序列化有关，但影响范围更广，CVSS评分为9.1（关键）。如果攻击者拥有特定的Elasticsearch索引权限和Kibana权限，他们可以执行任意代码。成功利用此漏洞需要攻击者具备特定的Elasticsearch索引权限和Kibana权限，包括对系统索引（.kibana_ingest）的写入访问权限和管理受限索引的能力。此外，攻击者还需要通过Fleet Server的服务账户令牌获得fleet-setup权限。

为了应对这两个漏洞，Elastic建议用户采取以下措施：升级至Kibana 8.15.1版本，这是最有效的解决方案，能够修补CVE-2024-37288和CVE-2024-37285。对于无法立即升级的用户，可以通过禁用集成助手来暂时缓解CVE-2024-37288的风险：xpack.integration_assistant.enabled: false。