Grafana-ohjelmistossa kriittinen haavoittuvuus | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Grafana-ohjelmistossa kriittinen haavoittuvuus

8. joulukuuta 2021 klo 13.56

Grafana Labs julkaisi turvallisuuspäivityksen, joka korjaa kriittisen haavoittuvuuden sen Grafana-ohjelmistossa. Päivitykset tulisi asentaa mahdollisimman pian.

Grafana Labs on julkaissut turvallisuuspäivityksen, jolla paikataan kriittinen haavoittuvuus CVE-2021-43798. Grafana dashboard on käytössä useilla yrityksillä ja sen avulla tarkkaillaan tietoverkkoja ja kootaan näistä lokitietoja.

Tämä hakemistopolun läpikulkuun (path traversal) vaikuttava haavoittuvuus antaa hyökkääjälle mahdollisuuden lukea palvelimen tietoja Grafanan hakemistojen ulkopuolelta.

Hyökkääjä voi käyttää väärin Grafana-lisäosan URL-osoitteita ja päästä Grafana-sovelluskansion ulkopuolelle saavuttaen pääsyn tiedostoihin, joita säilytetään palvelimella. Näihin kuuluvat esimerkiksi salasana-tiedostot sekä asennustiedostot, joita hyökkääjän olisi mahdollista käyttää hyväkseen uusien hyökkäyksien tekemisessä.

Grafana-palvelimia on verkossa näkyvillä useita tuhansia. Valtaosaa käytetään erityisesti suuryritysten tietoverkkojen valvontaan.

Haavoittuvuuden kohde

Haavoittuvia ovat kaikki omassa ylläpidossa olevat Grafana-palvelimet, jotka käyttävät 8.x -sovellusversiota.

 

Mistä on kysymys?

Ongelma on korjattu 8.12.2021 julkaistuissa Grafana 8.3.1, 8.2.7, 8.1.8, ja  8.0.7 -versioissa. Grafana Labs on kertonut, että sen pilvipohjainen Grafana Cloud -palvelu ei ole altis haavoittuvuudelle.

Mitä voin tehdä?

Grafana Labsin omilla sivuilla on kuvailtu haavoittuvuutta yksityiskohtaisesti. Artikkelin löydät täältä (ulkoinen linkki)

Grafana: Grafana releases security patch after exploit for severe bug goes public (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.