Grafana alerta sobre vulnerabilidade crítica de autenticação devido à integração com o Azure AD
26 de Junho de 2023

A Grafana lançou correções de segurança para várias versões de seu aplicativo, abordando uma vulnerabilidade que permite que atacantes ignorem a autenticação e assumam qualquer conta do Grafana que use o Azure Active Directory para autenticação.

O Grafana é um aplicativo de análise e visualização interativa de código aberto amplamente utilizado que oferece opções de integração extensivas com uma ampla gama de plataformas e aplicativos de monitoramento.

O Grafana Enterprise, a versão premium do aplicativo com capacidades adicionais, é usado por organizações conhecidas como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal e Sony.

A vulnerabilidade de invasão de conta descoberta é rastreada como CVE-2023-3128 e recebeu uma pontuação CVSS v3.1 de 9,4, classificando-a como gravidade crítica.

O bug é causado pelo Grafana autenticando contas do Azure AD com base no endereço de e-mail configurado na configuração "e-mail do perfil" associada.

No entanto, essa configuração não é única em todos os inquilinos do Azure AD, permitindo que atores ameaçadores criem contas do Azure AD com o mesmo endereço de e-mail que usuários legítimos do Grafana e as usem para sequestrar contas.

"Isso pode permitir uma invasão de conta do Grafana e uma violação de autenticação quando o Azure AD OAuth é configurado com um aplicativo OAuth do Azure AD multilocatário", diz o aviso do Grafana.

"Se explorada, o atacante pode obter controle completo da conta do usuário, incluindo acesso a dados de clientes privados e informações confidenciais."

O problema afeta todas as implantações do Grafana configuradas para usar o Azure AD OAuth para autenticação do usuário com um aplicativo Azure multilocatário e sem restrições sobre quais grupos de usuários podem autenticar (por meio da configuração "allowed_groups").

A vulnerabilidade está presente em todas as versões do Grafana a partir da 6.7.0, mas o fornecedor de software lançou correções para as versões 8.5, 9.2, 9.3, 9.5 e 10.0.

O Grafana Cloud já foi atualizado para as versões mais recentes, pois o fornecedor coordenou com provedores de nuvem como a Amazon e a Microsoft, que receberam notificação antecipada sobre o problema sob embargo.

O boletim da Grafana também inclui orientações para lidar com problemas que podem surgir em cenários de casos de uso específicos devido às mudanças introduzidas pela última correção, portanto, certifique-se de ler o aviso se você receber erros de "sincronização do usuário falhou" ou "usuário já existe".

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...