Η Grafana προειδοποιεί για κρίσιμη παράκαμψη πιστοποίησης λόγω ενσωμάτωσης του Azure AD
Related Posts
Η Grafana κυκλοφόρησε διορθώσεις ασφαλείας για πολλές εκδόσεις της εφαρμογής της, αντιμετωπίζοντας μια ευπάθεια που επιτρέπει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας και να εξαγοράσουν οποιονδήποτε λογαριασμό Grafana χρησιμοποιεί την υπηρεσία καταλόγου Active Directory Azure για έλεγχο ταυτότητας.
Το Grafana είναι μια ευρέως χρησιμοποιούμενη εφαρμογή αναλυτικών στοιχείων ανοιχτού κώδικα και διαδραστικής οπτικοποίησης που προσφέρει εκτεταμένες επιλογές ενοποίησης με ένα ευρύ φάσμα πλατφορμών και εφαρμογών παρακολούθησης.
Το Grafana Enterprise, η premium έκδοση της εφαρμογής με πρόσθετες δυνατότητες, χρησιμοποιείται από γνωστούς οργανισμούς όπως Wikimedia,
Bloomberg
, JP Morgan Chase, eBay, PayPal και
Sony
.
Η ευπάθεια κατάληψης λογαριασμού που ανακαλύφθηκε παρακολουθείται ως
CVE-2023-3128
και έλαβε βαθμολογία CVSS v3.1 9,4, βαθμολογώντας την ως κρίσιμη σοβαρότητα.
Το σφάλμα προκαλείται από τον έλεγχο ταυτότητας των λογαριασμών Azure AD της Grafana με βάση τη διεύθυνση email που έχει διαμορφωθεί στη σχετική ρύθμιση «προφίλ email». Ωστόσο, αυτή η ρύθμιση δεν είναι μοναδική σε όλους τους ενοικιαστές του Azure AD, επιτρέποντας στους παράγοντες απειλών να δημιουργούν λογαριασμούς Azure AD με την ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου με τους νόμιμους χρήστες του Grafana και να τους χρησιμοποιούν για να παραβιάζουν λογαριασμούς.
“Αυτό μπορεί να ενεργοποιήσει την ανάληψη λογαριασμού Grafana και την παράκαμψη ελέγχου ταυτότητας όταν το Azure AD OAuth έχει ρυθμιστεί με μια εφαρμογή Azure AD OAuth πολλαπλών ενοικιαστών”, αναφέρεται
Συμβουλευτική Γραφάνα
.
“Εάν γίνει εκμετάλλευση, ο εισβολέας μπορεί να αποκτήσει τον πλήρη έλεγχο του λογαριασμού ενός χρήστη, συμπεριλαμβανομένης της πρόσβασης σε προσωπικά δεδομένα πελατών και ευαίσθητων πληροφοριών.”
Το σύννεφο Grafana έχει ήδη μπαλώσει
Το ζήτημα επηρεάζει όλες τις αναπτύξεις Grafana που έχουν ρυθμιστεί να χρησιμοποιούν το Azure AD OAuth για έλεγχο ταυτότητας χρήστη με μια εφαρμογή Azure πολλαπλών μισθωτών και χωρίς περιορισμούς σχετικά με το ποιες ομάδες χρηστών μπορούν να ελέγχουν ταυτότητα (μέσω της διαμόρφωσης “allowed_groups”).
Η ευπάθεια υπάρχει σε όλες τις εκδόσεις Grafana από 6.7.0 και νεότερες εκδόσεις, αλλά ο προμηθευτής λογισμικού κυκλοφόρησε διορθώσεις για τους κλάδους 8.5, 9.2, 9.3, 9.5 και 10.0.
Οι προτεινόμενες εκδόσεις προς αναβάθμιση για την αντιμετώπιση του ζητήματος ασφαλείας είναι:
- Grafana 10.0.1 ή νεότερη έκδοση
- Grafana 9.5.5 ή μεταγενέστερη έκδοση
- Grafana 9.4.13 ή μεταγενέστερη έκδοση
- Grafana 9.3.16 ή μεταγενέστερη έκδοση
- Grafana 9.2.20 ή μεταγενέστερη έκδοση
- Grafana 8.5.27 ή μεταγενέστερη έκδοση
Το Grafana
Cloud
έχει ήδη αναβαθμιστεί στις πιο πρόσφατες εκδόσεις, καθώς ο προμηθευτής έχει συντονιστεί με παρόχους cloud όπως η
Amazon
και η
Microsoft
, οι οποίοι έλαβαν έγκαιρη ειδοποίηση σχετικά με το ζήτημα υπό εμπάργκο.
Για όσους δεν μπορούν να αναβαθμίσουν τις παρουσίες τους Grafana σε ασφαλή έκδοση, το ενημερωτικό δελτίο προτείνει τους εξής δύο μετριασμούς:
- Καταχωρίστε μια εφαρμογή ενοικιαστή στο Azure AD, η οποία θα αποτρέψει τυχόν προσπάθειες σύνδεσης από εξωτερικούς ενοικιαστές (άτομα εκτός του οργανισμού).
- Προσθέστε μια διαμόρφωση “allowed_groups” στις ρυθμίσεις του Azure AD για να περιορίσετε τις προσπάθειες σύνδεσης σε μέλη μιας ομάδας στη λευκή λίστα, επομένως απορρίπτοντας αυτόματα όλες τις προσπάθειες χρησιμοποιώντας ένα αυθαίρετο email.
Το ενημερωτικό δελτίο του Grafana περιλαμβάνει επίσης οδηγίες για την αντιμετώπιση προβλημάτων που ενδέχεται να προκύψουν σε συγκεκριμένα σενάρια χρήσης λόγω αλλαγών που εισάγονται από την πιο πρόσφατη ενημερωμένη έκδοση κώδικα, επομένως φροντίστε να διαβάσετε την προειδοποίηση εάν εμφανίσετε σφάλματα “Ο συγχρονισμός χρήστη απέτυχε” ή “ο χρήστης υπάρχει ήδη”.
