«Уязвимость CVE-2025-2135 "Путаница типов" (Type Confusion) сокрыта в компоненте Chromium, который задействован механизмом формирования отчётов Kibana. Злоумышленник может скомпрометировать систему, побуждая пользователя к взаимодействию со специально созданной вредоносной HTML-страницей. В наиболее тяжёлом сценарии эксплуатация бреши приводит к реализации RCE (удалённого выполнения произвольного кода) в базовой системе, представляя риск для целостности данных и общей безопасности инфраструктуры», — объяснила киберэксперт.
Учитывая повсеместное использование Kibana для задач мониторинга и аналитики, обширную поверхность атаки и критический уровень опасности уязвимости CVE-2025-2135, требуется безотлагательное реагирование и устранение угрозы.
Компания Elastic рекомендует пользователям обновить Kibana до одной из исправленных версий: 7.17.29, 8.17.8, 8.18.3 или 9.0.3. Эти версии содержат патч, устраняющий уязвимость в Chromium и снижающий риск эксплуатации.
Эксперт рассказала, что для организаций, не имеющих возможности применить обновление, важно реализовать компенсирующие меры: отключить функционал отчётности (добавить параметр xpack.reporting.enabled: false в конфигурационный файл kibana.yml), минимизировать привилегии, разрешив создание отчётов исключительно доверенным учётным записям, внедрить строгие сетевые правила, блокирующие несанкционированные сетевые соединения между процессом Chromium и сервисом Kibana на этапе генерации отчета.
«Проблема обнаружения угроз в актуальной конфигурации программного обеспечения может решаться автоматизированными решениями. Например, на помощь может прийти "Газинформсервис" с помощью в проведении проверок соответствия актуальности версий ПО посредством решения Efros Defence Operations. Efros обладает модулем Vulnerability Control с чекингом инфраструктуры на уязвимости в режиме аудита. Функционал системы проводит проверку уязвимостей для каждого объекта с использованием информации из баз данных, включая БДУ ФСТЭК России», — подчеркнула Дмитриева.
