Grafana, uygulamasının birden fazla sürümü için güvenlik düzeltmeleri yayınladı ve saldırganların kimlik doğrulamasını atlamasını ve kimlik doğrulama için Azure Active Directory kullanan herhangi bir Grafana hesabını devralmasını sağlayan bir güvenlik açığını ele aldı.
Grafana, çok çeşitli izleme platformları ve uygulamaları ile kapsamlı entegrasyon seçenekleri sunan yaygın olarak kullanılan açık kaynaklı bir analiz ve etkileşimli görselleştirme uygulamasıdır.
Uygulamanın ek yeteneklere sahip premium sürümü olan Grafana Enterprise, Wikimedia, Bloomberg, JP Morgan Chase, Ebay, Paypal ve Sony gibi tanınmış kuruluşlar tarafından kullanılmaktadır.
Keşfedilen hesap devralma güvenlik açığı CVE-2023-3128 olarak izlenir ve 9.4 CVSS V3.1 puanı aldı, kritik önemi derecelendirdi.
Hata, Grafana'nın ilişkili 'profil e -posta' ayarında yapılandırılan e -posta adresine göre Azure Reklam hesaplarının doğrulanmasından kaynaklanır. Bununla birlikte, bu ayar tüm Azure reklam kiracılarında benzersiz değildir, bu da tehdit aktörlerinin meşru Grafana kullanıcıları ile aynı e -posta adresi ile Azure Reklam hesapları oluşturmalarına ve bunları hesapları ele geçirmek için kullanmasına izin verir.
Grafana'nın danışmanlığı, "Bu, Azure AD OAuth çok kiracı bir Azure AD OAuth uygulamasıyla yapılandırıldığında bir Grafana hesabı devralma ve kimlik doğrulama bypass'ı sağlayabilir."
"Saldırgan, istismar edilirse, özel müşteri verilerine erişim ve hassas bilgiler de dahil olmak üzere bir kullanıcının hesabının tam kontrolünü kazanabilir."
Sorun, çok kiracı bir Azure uygulamasıyla kullanıcı kimlik doğrulaması için Azure AD OAUTH kullanacak şekilde yapılandırılmış tüm Grafana dağıtımlarını etkiler ve kullanıcı gruplarının kimlik doğrulaması yapabileceği kısıtlamalar olmadan ('Altında Dair_Groups' yapılandırması aracılığıyla).
Güvenlik açığı, 6.7.0 ve daha sonraki tüm Grafana sürümlerinde mevcuttur, ancak yazılım satıcısı 8.5, 9.2, 9.3, 9.5 ve 10.0 şubeleri için düzeltmeler yayınladı.
Güvenlik sorununun ele alınması için yükseltilmesi için önerilen sürümler şunlardır:
Grafana Cloud, satıcı ambargo altındaki sorunla ilgili erken bildirim alan Amazon ve Microsoft gibi bulut sağlayıcılarıyla koordine ettiği için en son sürümlere yükseltildi.
Grafana örneklerini güvenli bir versiyona yükseltemeyenler için, bülten aşağıdaki iki hafifletmeyi önerir:
Grafana'nın bülteni ayrıca en son yama tarafından getirilen değişiklikler nedeniyle belirli kullanım durumu senaryolarında ortaya çıkabilecek sorunlarla başa çıkma rehberliği de içerir, bu nedenle "kullanıcı senkronizasyonu başarısız" veya "kullanıcı zaten var" hataları alırsanız danışmanlığı okuduğunuzdan emin olun.
VMware, kod yürütmesine izin veren vCenter sunucusu hatalarını düzeltiyor, Auth Bypass
Fortinet, kritik Fortinac uzaktan komut yürütme kusurunu düzeltir
Microsoft Teams Bug, harici hesaplardan kötü amaçlı yazılım sunumuna izin verir
VMware, saldırılarda sömürülen kritik vrealize kusurunu uyarıyor
Microsoft, Azure Reklam Auth Kusurunu Düzeltiyor Hesap devralmasını sağlayan
Kaynak: Bleeping Computer