A Grafana lançou correções de segurança para várias versões de seu aplicativo, abordando uma vulnerabilidade que permite que atacantes ignorem a autenticação e assumam qualquer conta do Grafana que use o Azure Active Directory para autenticação.
O Grafana é um aplicativo de análise e visualização interativa de código aberto amplamente utilizado que oferece opções de integração extensivas com uma ampla gama de plataformas e aplicativos de monitoramento.
O Grafana Enterprise, a versão premium do aplicativo com capacidades adicionais, é usado por organizações conhecidas como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal e Sony.
A vulnerabilidade de invasão de conta descoberta é rastreada como
CVE-2023-3128
e recebeu uma pontuação CVSS v3.1 de 9,4, classificando-a como gravidade crítica.
O bug é causado pelo Grafana autenticando contas do Azure AD com base no endereço de e-mail configurado na configuração "e-mail do perfil" associada.
No entanto, essa configuração não é única em todos os inquilinos do Azure AD, permitindo que atores ameaçadores criem contas do Azure AD com o mesmo endereço de e-mail que usuários legítimos do Grafana e as usem para sequestrar contas.
"Isso pode permitir uma invasão de conta do Grafana e uma violação de autenticação quando o Azure AD OAuth é configurado com um aplicativo OAuth do Azure AD multilocatário", diz o aviso do Grafana.
"Se explorada, o atacante pode obter controle completo da conta do usuário, incluindo acesso a dados de clientes privados e informações confidenciais."
O problema afeta todas as implantações do Grafana configuradas para usar o Azure AD OAuth para autenticação do usuário com um aplicativo Azure multilocatário e sem restrições sobre quais grupos de usuários podem autenticar (por meio da configuração "allowed_groups").
A vulnerabilidade está presente em todas as versões do Grafana a partir da 6.7.0, mas o fornecedor de software lançou correções para as versões 8.5, 9.2, 9.3, 9.5 e 10.0.
O Grafana Cloud já foi atualizado para as versões mais recentes, pois o fornecedor coordenou com provedores de nuvem como a Amazon e a Microsoft, que receberam notificação antecipada sobre o problema sob embargo.
O boletim da Grafana também inclui orientações para lidar com problemas que podem surgir em cenários de casos de uso específicos devido às mudanças introduzidas pela última correção, portanto, certifique-se de ler o aviso se você receber erros de "sincronização do usuário falhou" ou "usuário já existe".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...