-
09/04/2020
-
117
-
1.226 bài viết
Lỗ hổng Kibana Crowdstrike Connector làm lộ API Key nhạy cảm trên nhiều workspace
Một lỗ hổng bảo mật nghiêm trọng mang mã CVE-2025-37728 vừa được phát hiện trong Kibana CrowdStrike Connector, có khả năng cho phép kẻ tấn công truy cập các thông tin xác thực CrowdStrike được lưu trữ trên nhiều không gian khác nhau trong cùng một triển khai. Vấn đề này phát sinh từ việc bảo vệ không đầy đủ các thông tin xác thực được lưu trong bộ nhớ đệm khi connector được tạo ở một workspace. Elastic đã phát hành bản vá và khuyến nghị tất cả người dùng nâng cấp ngay lập tức để tránh rò rỉ các khóa API nhạy cảm do CVE-2025-37728 gây ra.
Nguyên nhân của CVE-2025-37728 nằm ở cách CrowdStrike Connector lưu trữ thông tin xác thực API trong bộ nhớ đệm chung, có thể truy cập bởi bất kỳ người dùng nào đã xác thực trong các không gian khác nhau. Khi một connector được khởi tạo trong một không gian, thông tin xác thực dùng để truy vấn API của CrowdStrike được ghi vào bộ nhớ đệm mà không có các cơ chế phân tách thích hợp. Kẻ tấn công có quyền truy cập vào bất kỳ không gian nào khác trong cùng một instance của Kibana có thể lợi dụng CVE-2025-37728 để lấy được thông tin xác thực từ không gian khác. Mặc dù lỗ hổng không cho phép thay đổi hay xóa dữ liệu trực tiếp, các thông tin xác thực bị rò rỉ có thể cho phép kẻ tấn công truy vấn API của CrowdStrike, thu thập thông tin tình báo về các mối đe dọa nhạy cảm và tiềm ẩn khả năng can thiệp vào các quy trình phản ứng sự cố.
CVE-2025-37728 ảnh hưởng đến nhiều phiên bản Kibana bao gồm CrowdStrike Connector trước các bản vá mới. Cả các phiên bản đã hết hỗ trợ lẫn các phiên bản hiện được hỗ trợ trong các dòng 7.x, 8.x và đầu 9.x đều tồn tại lỗ hổng. Lỗ hổng được đánh giá ở mức Trung bình, với điểm CVSS 3.1 là 5.4, cho thấy việc khai thác thành công đòi hỏi quyền hạn hạn chế và một số tương tác từ người dùng, nhưng có thể dẫn đến rò rỉ một phần thông tin xác thực.
Các phiên bản bị ảnh hưởng:
Để giảm thiểu rủi ro từ CVE-2025-37728, các quản trị viên nên thực hiện các bước sau:
Nguyên nhân của CVE-2025-37728 nằm ở cách CrowdStrike Connector lưu trữ thông tin xác thực API trong bộ nhớ đệm chung, có thể truy cập bởi bất kỳ người dùng nào đã xác thực trong các không gian khác nhau. Khi một connector được khởi tạo trong một không gian, thông tin xác thực dùng để truy vấn API của CrowdStrike được ghi vào bộ nhớ đệm mà không có các cơ chế phân tách thích hợp. Kẻ tấn công có quyền truy cập vào bất kỳ không gian nào khác trong cùng một instance của Kibana có thể lợi dụng CVE-2025-37728 để lấy được thông tin xác thực từ không gian khác. Mặc dù lỗ hổng không cho phép thay đổi hay xóa dữ liệu trực tiếp, các thông tin xác thực bị rò rỉ có thể cho phép kẻ tấn công truy vấn API của CrowdStrike, thu thập thông tin tình báo về các mối đe dọa nhạy cảm và tiềm ẩn khả năng can thiệp vào các quy trình phản ứng sự cố.
CVE-2025-37728 ảnh hưởng đến nhiều phiên bản Kibana bao gồm CrowdStrike Connector trước các bản vá mới. Cả các phiên bản đã hết hỗ trợ lẫn các phiên bản hiện được hỗ trợ trong các dòng 7.x, 8.x và đầu 9.x đều tồn tại lỗ hổng. Lỗ hổng được đánh giá ở mức Trung bình, với điểm CVSS 3.1 là 5.4, cho thấy việc khai thác thành công đòi hỏi quyền hạn hạn chế và một số tương tác từ người dùng, nhưng có thể dẫn đến rò rỉ một phần thông tin xác thực.
Các phiên bản bị ảnh hưởng:
- 7.x: từ 7.17.29 trở xuống
- 8.x: từ 8.14.0 đến 8.18.7
- 8.19.x: từ 8.19.0 đến 8.19.4
- 9.0.x: từ 9.0.0 đến 9.0.7
- 9.1.x: từ 9.1.0 đến 9.1.4
Để giảm thiểu rủi ro từ CVE-2025-37728, các quản trị viên nên thực hiện các bước sau:
- Xác minh phiên bản Kibana hiện tại và lập kế hoạch nâng cấp ngay lên các bản vá mới
- Sau khi nâng cấp, rà soát lại toàn bộ cấu hình CrowdStrike Connector để đảm bảo hoạt động chính xác
- Thay thế bất kỳ khóa API nào có khả năng đã bị lộ trước khi triển khai bản vá
- Phối hợp với nhóm an ninh để kiểm tra tình trạng connector và đánh giá quyền truy cập giữa các workspace
- Theo dõi kênh thông báo bảo mật của Elastic để cập nhật thêm hướng dẫn hoặc các bản vá trong tương lai