Dünya çapında kamuya açık 46.000’den fazla Grafana örneğini etkileyen kritik bir kırılganlık, kamuoyuna dönük tüm konuşlandırmaların% 36’sı hesap devralma saldırılarına karşı savunmasız.
Yeni keşfedilen Kusur, CVE-2025-4123 olarak adlandırılan ve “Grafana Hayalet” olarak adlandırılan, kritik altyapıyı izlemek için popüler açık kaynaklı analitik ve görselleştirme platformuna dayanan kuruluşlar için önemli bir tehdit oluşturuyor.
Grafana Hesabı Devralma (CVE-2025-4123)
CVE-2025-4123, kurbanlara gönderilen masum görünüşte kötü niyetli bir bağlantı ile başlayan sofistike bir istismar zinciri olarak çalışır.
.png
)
Tıklandığında, hazırlanmış URL, Grafana’yı bir saldırganın sunucusunda barındırılan harici bir kötü amaçlı eklenti yüklemeye zorlar ve kurbanın tarayıcı oturumunda keyfi kod yürütülmesini sağlar.
Güvenlik açığı, saldırganların kötü niyetli JavaScript modülleri enjekte edebileceği son noktayı/a/eklenti-app/explore uç noktasında özellikle Grafana’nın eklenti yükleme mekanizmasını hedefler.
Saldırı, Grafana’nın statik dosya işleme sisteminde, özellikle PKG/API/Static/Static.Go kaynak kodu içinde temel bir kusurdan yararlanır.
Ox Security Araştırmacılar, CTX.Req.url.Path parametresinin açık bir yönlendirme elde etmek için manipüle edilebileceğini ve saldırganların meşru Grafana işlevselliğinin görünümünü korurken kullanıcıları harici kötü amaçlı sitelere yönlendirmesine izin verdiğini bildirdi.
Kötü niyetli eklenti yürütüldükten sonra, yalnızca Grafana_Session jetonunu kullanarak kurbanın hesap e -posta adresini değiştirebilir, daha sonra saldırganlar hesap devralmayı tamamlamak için şifre sıfırlama prosedürlerini başlatabilir.
Teknik analiz, dikkatle hazırlanmış bir yük yoluyla kusurun yol normalleştirme zayıflıklarını kullandığını ortaya koymaktadır: http: // localhost: 3000/public /../ \ saldırgan.com/%3F/../…
Bu dize, /public/../ kök dizinine çözülürken, sonraki yol geçiş dizileri saldırgan kontrollü alanlara yeniden yönlendirmeyi mümkün kılar.
Yük yapısı /\attacker.com, tarayıcı güvenlik kısıtlamalarını etkili bir şekilde atlayarak geçerli sayfanın protokolünü devralan protokol ile ilişkili bir URL oluşturur.
Modern tarayıcılar genellikle bu tür kötü niyetli yolları normalleştirir, ancak Grafana’nın istemci tarafı JavaScript yönlendirme mantığı alternatif bir saldırı vektörü sağlar.
/Public/..%2F..%2F..%2F..%2FSomething gibi kodlanmış yol geçiş sekanslarını kullanarak, saldırganlar tarayıcıyı normalleştirebilir ve JavaScript yürütme yoluyla güvenlik açığını tetikleyebilir.
Bu sofistike teknik, yaratıcı sömürü yöntemleriyle birden fazla güvenlik katmanının nasıl atlatılabileceğini göstermektedir.
Saldırının etkinliği, iç grafana dağıtımları eşit derecede savunmasız kaldığı için kamuya bakan örneklerin ötesine uzanmaktadır.
Saldırganlar, yerel olarak kullanılan alan adlarını ve bağlantı noktalarını hedefleyen yükler oluşturabilir, bu da havada veya ağ segmentli Grafana kurulumlarını kör saldırılara duyarlı hale getirir.
Anında yama gerekli
Kuruluşlar, bu kritik güvenlik açığını azaltmak için hemen yamalı Grafana sürümlerine yükseltilmelidir.
Mevcut güvenlik yamaları, 10.4.18+Güvenlik-01, 11.2.9+Güvenlik-01, 11.3.6+Güvenlik-01, 11.4.4+Güvenlik-01, 11.5.4+Güvenlik-01, 11.6.1+Güvenlik-01 ve 12.0.0+Güvenlik-01’i içerir.
Güvenlik açığı, Shodan aramaları aracılığıyla tanımlanan tahmini 128.000 Grafana örneğinin önemli bir bölümünü etkiler.
Meydan okulu bir Grafana Yönetici hesabı, saldırganlara dahili metriklere, gösterge tablolarına, hassas operasyonel verilere ve iş zekası sistemlerine tam erişim sağlar.
Buna ek olarak, saldırganlar meşru kullanıcıları kilitleyebilir, hesapları silebilir ve kritik izleme altyapısına erişimi kaldırarak önemli operasyonel bozulmaya neden olabilir.
Grafana’nın DevOps ortamlarında yaygın olarak benimsenmesi göz önüne alındığında, bu güvenlik açığı, örgütsel güvenlik ve operasyonel süreklilik için önemli riskler oluşturmaktadır ve bu da etkilenen tüm dağıtımlar için hemen iyileştirmeyi gerekli kılmaktadır.
Şifre Yöneticisi Güvenlik Gap Hacker’ları Sustam Exploit => Nasıl Kontrol Edin