Grafana, uygulamasının birden çok sürümü için, saldırganların kimlik doğrulamasını atlamasına ve kimlik doğrulama için Azure Active Directory kullanan herhangi bir Grafana hesabını ele geçirmesine olanak tanıyan bir güvenlik açığını gideren güvenlik düzeltmeleri yayınladı.
Grafana, çok çeşitli izleme platformları ve uygulamalarıyla kapsamlı entegrasyon seçenekleri sunan, yaygın olarak kullanılan bir açık kaynaklı analitik ve etkileşimli görselleştirme uygulamasıdır.
Uygulamanın ek yeteneklere sahip premium sürümü olan Grafana Enterprise, Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal ve Sony gibi tanınmış kuruluşlar tarafından kullanılmaktadır.
Keşfedilen hesap devralma güvenlik açığı, CVE-2023-3128 olarak izlenir ve CVSS v3.1’den 9.4 puan alarak kritik önem derecesine sahiptir.
Hata, ilişkili ‘profil e-postası’ ayarında yapılandırılan e-posta adresine göre Grafana’nın Azure AD hesaplarının kimliğini doğrulamasından kaynaklanır. Ancak bu ayar, tüm Azure AD kiracıları arasında benzersiz değildir ve tehdit aktörlerinin meşru Grafana kullanıcılarıyla aynı e-posta adresine sahip Azure AD hesapları oluşturmasına ve bunları hesapları ele geçirmek için kullanmasına olanak tanır.
Grafana’nın danışma belgesinde “Bu, Azure AD OAuth çok kiracılı bir Azure AD OAuth uygulamasıyla yapılandırıldığında bir Grafana hesabı devralma ve kimlik doğrulama atlamasını etkinleştirebilir” diyor.
“Saldırgan istismar edilirse, özel müşteri verilerine ve hassas bilgilere erişim dahil olmak üzere bir kullanıcının hesabının tam kontrolünü ele geçirebilir.”
Grafana bulutu zaten yamalı
Sorun, çok kiracılı bir Azure uygulamasıyla kullanıcı kimlik doğrulaması için Azure AD OAuth kullanacak şekilde yapılandırılmış ve hangi kullanıcı gruplarının kimlik doğrulaması yapabileceğine ilişkin kısıtlamalar olmaksızın (“allowed_groups” yapılandırması aracılığıyla) tüm Grafana dağıtımlarını etkiler.
Güvenlik açığı, 6.7.0 ve sonraki tüm Grafana sürümlerinde mevcuttur, ancak yazılım satıcısı 8.5, 9.2, 9.3, 9.5 ve 10.0 şubeleri için düzeltmeler yayınladı.
Güvenlik sorununu çözmek için yükseltilmesi önerilen sürümler şunlardır:
- Grafana 10.0.1 veya üstü
- Grafana 9.5.5 veya üstü
- Grafana 9.4.13 veya üstü
- Grafana 9.3.16 veya üstü
- Grafana 9.2.20 veya üstü
- Grafana 8.5.27 veya üstü
Satıcı, ambargo altındaki sorun hakkında erken bildirim alan Amazon ve Microsoft gibi bulut sağlayıcılarıyla koordineli olduğundan, Grafana Cloud zaten en son sürümlere yükseltildi.
Bülten, Grafana örneklerini güvenli bir sürüme yükseltemeyenler için aşağıdaki iki azaltıcı önlemi önerir:
- Dış kiracılardan (kuruluş dışındaki kişiler) herhangi bir oturum açma girişimini engellemesi gereken tek bir kiracı uygulamasını Azure AD’ye kaydedin.
- Beyaz listedeki bir grubun üyeleriyle oturum açma girişimlerini sınırlamak için Azure AD ayarlarına bir “allowed_groups” yapılandırması ekleyin, böylece isteğe bağlı bir e-posta kullanan tüm girişimleri otomatik olarak reddedin.
Grafana’nın bülteni ayrıca, en son yamanın getirdiği değişiklikler nedeniyle belirli kullanım senaryolarında ortaya çıkabilecek sorunların üstesinden gelmek için rehberlik içerir, bu nedenle “kullanıcı senkronizasyonu başarısız oldu” veya “kullanıcı zaten var” hataları alırsanız danışma kılavuzunu okuduğunuzdan emin olun.