Les recherches d’une paire de chasseurs de primes de bogues ont conduit à la découverte d’une vulnérabilité de sécurité Web à fort impact dans l’outil de tableau de bord populaire Grafana.
La vulnérabilité CSRF (cross-site request forgery) – suivie comme CVE-2022-21703 – ouvre la porte aux attaquants pour élever leurs privilèges par des attaques cross-origin contre les administrateurs sur les systèmes exécutant des versions vulnérables de la plate-forme open source.
Selon les chercheurs, les versions de la branche Grafana antérieures à 7.5.15 et 8.3.5 sont toutes vulnérables et nécessitent un triage de sécurité.
Heureusement, des correctifs sont déjà disponibles.
Les chercheurs en sécurité utilisant les descripteurs « jub0bs » et « abrahack » ont démontré que les instances de Grafana configurées pour autoriser intégration de cadre des tableaux de bord authentifiés sont exposés à un risque accru d’attaques potentielles d’origine croisée.
Il n’existe aucune solution de contournement connue, il est donc conseillé aux administrateurs système de mettre à niveau les installations de Grafana dès que possible.
Lacunes en matière de sécurité
Le chasseur de bogues jub0bs a dit La gorgée quotidienne que les conséquences potentielles de la vulnérabilité étaient de grande envergure.
« L’impact inclut le XSS stocké [cross-site scripting]privéc [privilege escalation] jusqu’à l’administrateur Grafana de l’instance ciblée, SSRF en lecture complète [server-side request forgery]et également pivoter par rapport à d’autres applications fonctionnant sur la même origine (par exemple GitLab) », ont-ils expliqué.
« L’attaquant devrait alors attirer un utilisateur Grafana à privilèges élevés vers la page vulnérable de ce sous-domaine. »
EN RELATION Grafana exhorte les développeurs Web à mettre à jour la divulgation du bogue de traversée de chemin suivant
Le chercheur a déclaré que la vulnérabilité résultait d’une combinaison de trois lacunes de sécurité : une dépendance excessive à l’attribut de cookie SameSite, une faible validation du type de contenu des requêtes et des hypothèses incorrectes sur le partage des ressources cross-origin (CORS).
Il existe certaines conditions préalables à une attaque réussie, mais même ainsi, des agressions pourraient facilement être possibles.
Ils ont expliqué: « Si un attaquant cible une instance Grafana avec une configuration par défaut sur, disons, grafana[.]Exemple[.com]un XSS ou subtko [subdomain takeover] sur un sous-domaine d’exemple[.]com est nécessaire.
Dans un article de blog techniquejub0bs et abrahack expliquent leurs recherches en profondeur.
La gorgée quotidienne a invité Grafana à commenter les dernières recherches sur sa plate-forme, mais nous n’avons pas encore reçu de réponse.
Le problème a été résolu dans les versions 7.5.15 et 8.3.5 de Grafana.