Grafana-ohjelmistossa kriittinen haavoittuvuus

Haavoittuvuus37/2021CVSS 7.5

Grafana Labs julkaisi turvallisuuspäivityksen, joka korjaa kriittisen haavoittuvuuden sen Grafana-ohjelmistossa. Päivitykset tulisi asentaa mahdollisimman pian.

Grafana Labs on julkaissut turvallisuuspäivityksen, jolla paikataan kriittinen haavoittuvuus CVE-2021-43798. Grafana dashboard on käytössä useilla yrityksillä ja sen avulla tarkkaillaan tietoverkkoja ja kootaan näistä lokitietoja.

Tämä hakemistopolun läpikulkuun (path traversal) vaikuttava haavoittuvuus antaa hyökkääjälle mahdollisuuden lukea palvelimen tietoja Grafanan hakemistojen ulkopuolelta.

Hyökkääjä voi käyttää väärin Grafana-lisäosan URL-osoitteita ja päästä Grafana-sovelluskansion ulkopuolelle saavuttaen pääsyn tiedostoihin, joita säilytetään palvelimella. Näihin kuuluvat esimerkiksi salasana-tiedostot sekä asennustiedostot, joita hyökkääjän olisi mahdollista käyttää hyväkseen uusien hyökkäyksien tekemisessä.

Grafana-palvelimia on verkossa näkyvillä useita tuhansia. Valtaosaa käytetään erityisesti suuryritysten tietoverkkojen valvontaan.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Haavoittuvia ovat kaikki omassa ylläpidossa olevat Grafana-palvelimet, jotka käyttävät 8.x -sovellusversiota.

 

Ratkaisu- ja rajoitusmahdollisuudet

Ongelma on korjattu 8.12.2021 julkaistuissa Grafana 8.3.1, 8.2.7, 8.1.8, ja  8.0.7 -versioissa. Grafana Labs on kertonut, että sen pilvipohjainen Grafana Cloud -palvelu ei ole altis haavoittuvuudelle.

Lisätietoja

Grafana Labsin omilla sivuilla on kuvailtu haavoittuvuutta yksityiskohtaisesti. Artikkelin löydät täältä (Ulkoinen linkki) (ulkoinen linkki)