Kibana 원격 코드 실행 취약점(CVE-2025-25015) 긴급 보안 패치 발표

Elastic Releases Urgent Fix for Critical Kibana Vulnerability Enabling Remote Code Execution

 

Elastic patches critical Kibana flaw allowing code execution

Elastic patches critical Kibana flaw allowing code execution

 

• 개요
  • Elastic이 Kibana 데이터 시각화 도구의 중대한 보안 취약점(CVE-2025-25015)에 대한 긴급 보안 패치를 발표
  • 해당 취약점은 프로토타입 오염(Prototype Pollution)을 통해 임의 코드 실행을 유발할 수 있으며, CVSS 점수 9.9로 평가
  • 취약점은 8.15.0 이상 8.17.3 미만 버전에 영향을 미치며, 버전 8.17.3에서 해결됨
• 취약점 상세 내용
  • 프로토타입 오염은 JavaScript 객체의 기본 속성을 조작하여 권한 상승, 서비스 거부(DoS), 원격 코드 실행(RCE)을 가능하게 하는 취약점
  • 공격자는 조작된 파일 업로드와 특수 HTTP 요청 조합을 통해 악성 JavaScript 객체를 생성하고, Kibana 환경 내에서 코드를 실행 가능
  • 취약점은 다음 조건에서 활용 가능
    • Kibana 8.15.0 ~ 8.17.0: Viewer 권한 사용자도 공격 가능
    • Kibana 8.17.1 ~ 8.17.2: 아래 모든 권한을 가진 사용자만 공격 가능
      • fleet-all
      • integrations-all
      • actions:execute-advanced-connectors
• 영향 범위
  • Elastic Cloud에서 실행 중인 Kibana 인스턴스에만 영향을 미침
  • 자체 호스팅(Self-managed) 인스턴스 및 기본/Platinum 라이선스 사용자는 영향 없음
  • 코드 실행은 Docker 컨테이너 내에서 제한되며, seccomp-bpf 및 AppArmor 프로파일로 컨테이너 탈출 차단
• 과거 유사 사례
  • 2024년에도 Kibana에서는 프로토타입 오염(CVE-2024-37287) 및 역직렬화 취약점(CVE-2024-37288, CVE-2024-37285)이 발견되어 코드 실행 가능성이 제기됨
  • 연이은 중대 취약점 발견은 Kibana의 보안 유지 관리 및 코드 검증 체계 강화 필요성을 시사
• 보안 권고
  • 즉시 보안 패치 적용 권고 (Kibana 8.17.3 버전 이상)
  • 패치가 불가능한 경우, 아래 설정을 통해 위험 완화
    • Kibana 설정 파일(kibana.yml)에서 다음 항목 비활성화
      • xpack.integration_assistant.enabled: false
  • 권한 관리 강화
    • Viewer 또는 고급 커넥터 실행 권한을 가진 사용자에 대한 접근 통제 및 활동 모니터링 강화
• 결론
  • Kibana는 Elasticsearch 기반 데이터 시각화 도구로, 보안 취약 시 전사 데이터 분석 및 운영 플랫폼 전체에 중대한 위협
  • 본 취약점은 제한된 권한을 통해도 악용 가능하며, 클라우드 기반 Kibana 인스턴스에 대한 긴급 대응이 필수
  • Elastic은 취약점에 대해 적극적으로 대응하고 있으나, 사용자 측에서도 패치 관리, 권한 설정, 보안 설정 적용을 철저히 수행해야 함