Grafana alerta sobre vulnerabilidade crítica de autenticação devido à integração com o Azure AD
26 de Junho de 2023

A Grafana lançou correções de segurança para várias versões de seu aplicativo, abordando uma vulnerabilidade que permite que atacantes ignorem a autenticação e assumam qualquer conta do Grafana que use o Azure Active Directory para autenticação.

O Grafana é um aplicativo de análise e visualização interativa de código aberto amplamente utilizado que oferece opções de integração extensivas com uma ampla gama de plataformas e aplicativos de monitoramento.

O Grafana Enterprise, a versão premium do aplicativo com capacidades adicionais, é usado por organizações conhecidas como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal e Sony.

A vulnerabilidade de invasão de conta descoberta é rastreada como CVE-2023-3128 e recebeu uma pontuação CVSS v3.1 de 9,4, classificando-a como gravidade crítica.

O bug é causado pelo Grafana autenticando contas do Azure AD com base no endereço de e-mail configurado na configuração "e-mail do perfil" associada.

No entanto, essa configuração não é única em todos os inquilinos do Azure AD, permitindo que atores ameaçadores criem contas do Azure AD com o mesmo endereço de e-mail que usuários legítimos do Grafana e as usem para sequestrar contas.

"Isso pode permitir uma invasão de conta do Grafana e uma violação de autenticação quando o Azure AD OAuth é configurado com um aplicativo OAuth do Azure AD multilocatário", diz o aviso do Grafana.

"Se explorada, o atacante pode obter controle completo da conta do usuário, incluindo acesso a dados de clientes privados e informações confidenciais."

O problema afeta todas as implantações do Grafana configuradas para usar o Azure AD OAuth para autenticação do usuário com um aplicativo Azure multilocatário e sem restrições sobre quais grupos de usuários podem autenticar (por meio da configuração "allowed_groups").

A vulnerabilidade está presente em todas as versões do Grafana a partir da 6.7.0, mas o fornecedor de software lançou correções para as versões 8.5, 9.2, 9.3, 9.5 e 10.0.

O Grafana Cloud já foi atualizado para as versões mais recentes, pois o fornecedor coordenou com provedores de nuvem como a Amazon e a Microsoft, que receberam notificação antecipada sobre o problema sob embargo.

O boletim da Grafana também inclui orientações para lidar com problemas que podem surgir em cenários de casos de uso específicos devido às mudanças introduzidas pela última correção, portanto, certifique-se de ler o aviso se você receber erros de "sincronização do usuário falhou" ou "usuário já existe".

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...