Die Kibana-Entwickler haben eine kritische Sicherheitslücke in der Analyseplattform geschlossen.
Wenn Angreifer erfolgreich an einer Schwachstelle in Kibana ansetzen, können sie Systeme mit Schadcode verseuchen. Attacken sind aber nicht in jedem Fall ohne Weiteres möglich. Eine dagegen geschützte Version steht zum Download bereit.
Kritische Schadcode-Lücke
Wie die Entwickler in einer Warenmeldung ausführen, sind die Versionen >= 8.15.0 und < 8.17.1 nur attackierbar, wenn Angreifer über Viewer-Role-Rechte verfügen. Als Voraussetzung für Attacken auf die Ausgaben 8.17.1 und 8.17.2 müssen Angreifer über Rechte mit diesen Privilegien verfügen: fleet-all, integrations-all, actions:execute-advanced-connectors.
Ist das gegeben, können sie durch den Upload einer präparierten Datei und das Versenden von manipulierten HTTP-Anfragen Schadcode auf Systemen ausführen. Danach sind Computer in der Regel vollständig kompromittiert. Deswegen ist die Sicherheitslücke (CVE-2025-25012) als “kritisch” eingestuft. Die Lücke schrammt mit dem CVSS Score 3.1 9.9 von 10 knapp an der Höchstwertung vorbei.
Patch oder Workaround
Die Entwickler geben an, die Version 8.17.3 gegen die geschilderte Attacke gerüstet zu haben. Können Admins das Update nicht umgehend installieren, sollten sie ihre Installationen mittels einer Übergangslösung schützen. Dafür müssen sie folgenden Wert in der Kibana-Konfiguration anpassen: xpack.integration_assistant.enabled: false.
Bislang gibt es keine Berichte, dass Angreifer die Schwachstelle bereits ausnutzen. Admins sollten die Gefahr aber nicht auf die leichte Schulter nehmen und sich zeitnah um das Sicherheitsproblem kümmern. In der Warnmeldung gibt es leider keine Informationen, anhand welcher Hinweise (Indicator of Compromise, IoC) Admins bereits attackierte Systeme erkennen können.