El portal de publicación de exploits, ExploitDB, ha liberado una prueba de concepto asociada a la herramienta de monitoreo de datos y métricas Grafana. Según se reporta, el exploit ocasionaría un ataque de denegación en el servidor, afectando las operaciones de la herramienta de monitoreo.
La prueba de concepto hace referencia a una vulnerabilidad que el fabricante ha hecho pública semanas atrás. Grafana, en su comunicado de prensa, notifica que el 14 de Mayo de 2020 se recibió un reporte de segurida de parte del investigador Justin Gardner (@rhynorater), el cual indicó que las versiones 3.x a la 7.x eran susceptibles a una vulnerabilidad de tipo «SSRF Incorrect Access Control» . El fallo de seguridad recibió el identificador CVE-2020-13379. Finalmente, el 03 Junio de 2020 se liberan las actualizaciones de seguridad que corrigen los fallos reportados.
A la fecha de publicación del boletín (03/Jun), Grafana indica que se actualice a la versión 7.0.2. No obstante, a fecha de hoy se verifica que la última versión es la 7.0.5 (disponible aquí), por lo que se recomienda a los administradores de plataformas tomar las medidas de seguridad correspondientes para el upgrade de versión.
Referencia: https://grafana.com/blog/2020/06/03/grafana-6.7.4-and-7.0.2-released-with-important-security-fix/