İzleme ve gözlemlenebilirlik için yaygın olarak kullanılan popüler açık kaynaklı platform Grafana’nın ciddi bir SQL enjeksiyon güvenlik açığı içerdiği tespit edildi.
Bu kusur, geçerli kullanıcı kimlik bilgilerine sahip saldırganların rastgele SQL komutları yürütmesine olanak tanır ve potansiyel olarak veri sızıntısına ve diğer güvenlik ihlallerine yol açar.
Güvenlik Açığı Açıklaması ve Etkisi
Güvenlik açığı Grafana SQL paketinde, özellikle de SQL sorgularının işlendiği ve yürütüldüğü SqlDatasource.ts dosyasında bulunuyor.
Saldırganlar, özel hazırlanmış bir ham SQL parametresiyle /api/ds/query uç noktasına kötü amaçlı bir POST isteği göndererek bundan yararlanabilir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Bu kusur, en son sürümler de dahil olmak üzere Grafana’nın tüm sürümlerini etkiler.
GitHub tarafından bildirildiği üzere, bir saldırganın bağlı veritabanlarında depolanan hassas verilere erişebilmesi veya bu verileri değiştirebilmesi nedeniyle bu güvenlik açığının risk düzeyi yüksektir.
Etki, Grafana’nın tüm önceki ve mevcut sürümlerini etkilediğinden oldukça yaygındır ve bu veri analitiği ve izleme aracına güvenen kuruluşlar için önemli bir tehdit oluşturmaktadır.
Güvenlik Açığı Analizi
Sorunun özü, Grafana arka ucu aracılığıyla gönderilen SQL sorgularının doğru şekilde doğrulanmamasından kaynaklanıyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Etkilenen kod blokları, SQL ifadelerinin yeterli kontroller olmadan yürütülmesine olanak tanıyarak saldırganların kötü amaçlı SQL kodu eklemesine olanak tanır.
Bu, sırasıyla çalıştırma SQL ve metricFindQuery işlevlerinin SQL sorgusu yürütmelerini yönettiği SqlDatasource.ts ve datasource.ts dosyalarının kaynak kodunda gösterilmiştir.
Güvenlik açığı, veritabanından hata döndürmediği için tespit edilmesi ve önlenmesi özellikle zor olabilen, SQL enjeksiyonunun daha gizli bir biçimi olan zamana dayalı kör SQL enjeksiyonuna açıkça izin veriyor.
Tekrarlama ve Hata Onarımı
Bu, Grafana’da güvenlik açıklarının bildirildiği ilk sefer değil ve bu tür güvenlik sorunlarının tekrarlaması, Grafana geliştirme ekibi içindeki genel güvenlik uygulamaları ve güvenlik açığı yönetimiyle ilgili endişeleri artırıyor.
Grafana güvenlik ekibi, ciddiyetine rağmen bu kusuru bir güvenlik açığı olarak değil, arka uç sistemin bir özelliği olarak kabul ediyor.
Bu tartışmalı duruş, açık kaynak projelerdeki güvenlik risklerinin algılanması ve yönetilmesindeki zorlukları vurgulamaktadır.
Azaltmayla ilgili olarak Grafana, DataSource proxy’sine gönderilen sorguları doğrulamadığından, Grafana’ya bağlı veri kaynaklarının SQL enjeksiyon saldırılarını önlemek için güçlü filtreleme ve doğrulama mekanizmalarına sahip olması gerekir.
Grafana’da bu SQL enjeksiyon güvenlik açığının keşfedilmesi, özellikle hassas ortamlarda kullanılan açık kaynaklı yazılımlarda sürekli güvenlik değerlendirmesi ve iyileştirmeye yönelik kritik ihtiyacın altını çiziyor.
Grafana kullanan kuruluşlar ek güvenlik önlemleri almalı ve sistemlerinde olağandışı etkinliklere karşı dikkatli olmalıdır.
Bir özelliğin bir güvenlik açığıyla karşı karşıya olup olmadığına dair tartışma devam ederken, güvenlik topluluğu muhtemelen Grafana’nın bu durumu ve gelecekteki güvenlik sorunlarını nasıl ele aldığını yakından izleyecektir.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo