Grafana cảnh báo về việc bỏ qua xác thực quan trọng do tích hợp Azure AD



Grafana là một ứng dụng trực quan tương tác và phân tích nguồn mở được sử dụng rộng rãi, cung cấp các tùy chọn tích hợp mở rộng với nhiều nền tảng và ứng dụng giám sát.

Grafana Enterprise, phiên bản cao cấp của ứng dụng với các khả năng bổ sung, được các tổ chức nổi tiếng sử dụng  như Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal và Sony.

Lỗ hổng kiểm soát tài khoản được phát hiện và theo dõi là CVE-2023-3128 và số điểm CVSS v3.1 là 9,4,được đánh giá ở mức độ nghiêm trọng.

Lỗi xảy ra do Grafana xác thực tài khoản Azure AD dựa trên địa chỉ email được định cấu hình được liên kết trong cài đặt 'profile email'. Tuy nhiên, việc cài đặt này không phải là duy nhất trên tất cả các đối tượng thuê Azure AD, cho phép các tác nhân đe dọa tạo tài khoản Azure AD có cùng địa chỉ email với người dùng Grafana hợp pháp và sử dụng chúng để chiếm đoạt tài khoản.

"Điều này có thể cho phép bỏ qua xác thực và kiểm soát tài khoản Grafana khi Azure AD OAuth được định cấu hình với ứng dụng Azure AD OAuth nhiều bên thuê," Grafana đưa ra lời khuyên.

"Nếu bị khai thác, kẻ tấn công có thể giành quyền kiểm soát hoàn toàn tài khoản của người dùng, bao gồm quyền truy cập vào dữ liệu khách hàng cá nhân và thông tin nhạy cảm."

Grafana Cloud đã được vá

Sự cố này ảnh hưởng đến tất cả các triển khai Grafana được định cấu hình để sử dụng Azure AD OAuth để xác thực người dùng bằng ứng dụng Azure nhiều đối tượng thuê và không có hạn chế về việc nhóm người dùng nào có thể xác thực (thông qua cấu hình 'allowed_groups').

Lỗ hổng này có trên tất cả các phiên bản Grafana từ 6.7.0 trở lên, nhưng nhà cung cấp phần mềm đã phát hành bản sửa lỗi cho các phiên bản 8.5, 9.2, 9.3, 9.5 và 10.0.

Các phiên bản được khuyến nghị nâng cấp lên để giải quyết vấn đề bảo mật là:

• Grafana 10.0.1 trở lên
• Grafana 9.5.5 trở lên
• Grafana 9.4.13 trở lên
• Grafana 9.3.16 trở lên
• Grafana 9.2.20 trở lên
• Grafana 8.5.27 trở lên

Grafana Cloud đã được nâng cấp lên các phiên bản mới nhất vì nhà cung cấp đã phối hợp với các nhà cung cấp đám mây như Amazon và Microsoft, là những người đã nhận được thông báo sớm về vấn đề đang bị cản trở.

Đối với những người không thể nâng cấp các phiên bản Grafana của họ lên phiên bản bảo mật, bản tin đề xuất hai biện pháp giảm thiểu sau:

1. Đăng ký một ứng dụng đối tượng thuê duy nhất trong Azure AD, điều này sẽ ngăn việc cố gắng đăng nhập từ đối tượng thuê bên ngoài (những người bên ngoài tổ chức).
2. Thêm cấu hình "allowed_groups" vào cài đặt Azure AD để giới hạn việc cố gắng đăng nhập của các thành viên của nhóm có trong danh sách trắng, do đó sẽ tự động từ chối việc sử dụng email tùy ý.

Bản tin của Grafana bao gồm hướng dẫn xử lý các sự cố có thể phát sinh trong các trường hợp sử dụng cụ thể do những thay đổi được đưa ra bởi bản vá mới nhất, vì vậy hãy đọc những lời khuyên trên nếu bạn gặp lỗi trong "đồng bộ hóa người dùng không thành công - user sync failed" hoặc "người dùng đã tồn tại - user already exists".

Nguồn: bleepingcomputer.com