Des acteurs malveillants pourraient prendre le contrôle d’un compte administrateur dans Grafana en raison d’une vulnérabilité dans sa fonction de connexion OAuth, ont averti les chercheurs.

La faille de sécurité, suivie comme CVE-2022-31107pourrait permettre à un attaquant d’accéder au compte d’un autre utilisateur sur la plate-forme d’analyse open source.

Découvert par une équipe de chercheurs de HTTPVoidle bogue, qui réside dans la fonction de connexion de la plate-forme, « ouvre la porte aux attaquants pour élever leurs privilèges via des attaques cross-origin contre les administrateurs sur les systèmes exécutant des versions vulnérables de la plate-forme open source ».

Un attaquant pourrait donc potentiellement accéder à un compte administrateur.

Conditions préalables

La connexion OAuth est un protocole d’authentification qui permet à un utilisateur d’approuver une application interagissant avec une autre en son nom sans donner le mot de passe, par exemple en utilisant le compte Facebook d’un utilisateur pour se connecter à une autre application.

L’attaque nécessite certaines conditions préalables, par exemple l’attaquant devrait avoir l’autorisation de se connecter à une instance Grafana via un IdP OAuth configuré qui fournit un nom de connexion pour prendre en charge le compte d’un autre utilisateur dans cette instance Grafana.

Cela peut se produire lorsque :

  • L’utilisateur malveillant est autorisé à se connecter à Grafana via OAuth
  • L’ID utilisateur externe de l’utilisateur malveillant n’est pas déjà associé à un compte dans Grafana
  • L’adresse e-mail de l’utilisateur malveillant n’est pas déjà associée à un compte dans Grafana
  • Et l’utilisateur malveillant connaît le nom d’utilisateur Grafana de l’utilisateur cible

« Si ces conditions sont remplies, l’utilisateur malveillant peut définir son nom d’utilisateur dans le fournisseur OAuth sur celui de l’utilisateur cible, puis passer par le flux OAuth pour se connecter à Grafana », a déclaré un rapport de vulnérabilité lit.

« En raison de la manière dont les comptes d’utilisateurs externes et internes sont liés lors de la connexion, si les conditions ci-dessus sont toutes remplies, l’utilisateur malveillant pourra se connecter au compte Grafana de l’utilisateur cible. »

Correctif disponible

S’adressant à , Harsh Jaiswal, membre de l’équipe de recherche, a déclaré : « Cela a été découvert lors de l’audit du code source de Grafana, la découverte elle-même n’a pas été difficile, mais atteindre le flux de code a définitivement pris du temps.

« L’exploitation dépend de la configuration. Je dirais que c’est moyennement difficile.

Jaiswal a déclaré que le processus de divulgation était positif, ajoutant que l’équipe Grafana était « rapide dans le triage et que le processus global s’est déroulé sans heurts ».

« Selon la configuration, cette vulnérabilité à l’exploitation pourrait entraîner un contournement d’authentification ou une élévation de privilèges », a averti le chercheur.

La vulnérabilité, présente dans les versions 5.3 à 9.0.3, 8.5.9, 8.4.10 et 8.3.10, a été corrigée par Grafana dans les versions 9.0.3, 8.5.9, 8.4.10 et 8.3.10 .

« Comme solution de contournement, les utilisateurs concernés peuvent désactiver la connexion OAuth à leur instance Grafana, ou s’assurer que tous les utilisateurs autorisés à se connecter via OAuth ont un compte d’utilisateur correspondant dans Grafana lié à leur adresse e-mail », ajoute le rapport de vulnérabilité.