Grafana es una aplicación de análisis y visualización interactiva de código abierto ampliamente utilizada, que ofrece múltiples opciones de integración con varias plataformas y aplicaciones de monitoreo.
Los desarrolladores han lanzado parches de seguridad para varias versiones de su aplicación que abordan una vulnerabilidad de “omisión de autenticación”.
La versión premium de esta aplicación contiene muchas más ventajas adicionales las cuales son usadas por empresas con alta reputación como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal y Sony.
Detalle de vulnerabilidades
- CVE-2023-3128 -> Puntaje base CVSS v3.1: 9.4 (crítica)
La falla se conoce como “omisión de autenticación”, se produce cuando Grafana autentica la cuenta de Azure AD (servicio en la nube de administración de identidades de Microsoft) mediante la dirección de correo electrónico en la configuración del «Perfil de correo electrónico» asociada.
Sin embargo, esta configuración no es única para todos los usuarios de Azure AD, lo que permite a los actores de amenazas crear cuentas con las mismas direcciones de correo electrónico que los usuarios legítimos de Grafana y usarlas para tomar control sobre las cuentas, incluido los datos privados de clientes y más información confidencial.
Productos y Versiones afectadas
La vulnerabilidad está presente en todas las versiones de Grafana desde la 6.7.0 y posteriores.
Solución
Aplicar parches de seguridad que corrigen las vulnerabilidades en la plataforma:
- Grafana 10.0.1 o posterior
- Grafana 9.5.5 o posterior
- Grafana 9.4.13 o posterior
- Grafana 9.3.16 o posterior
- Grafana 9.2.20 o posterior
- Grafana 8.5.27 o posterior
Recomendación
Actualizar a las versiones que solucionan esta vulnerabilidad, antes descritas.
Workaround
Cómo método temporal de mitigación si no puede realizar las actualizaciones que corresponden:
- Agregar la configuración “allow_groups” a la configuración de Azure AD garantizaría que cuando un usuario inicie sesión, también sea miembro de un grupo en Azure AD.
Esto garantizaría que un atacante no pueda utilizar un correo electrónico arbitrario.
- El registro de una aplicación de inquilino único en Azure AD evitaría el vector de ataque.
Referencias
Para más información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:
- https://www.bleepingcomputer.com/news/security/grafana-warns-of-critical-auth-bypass-due-to-azure-ad-integration/
- https://securityonline.info/cve-2023-3128-grafana-account-takeover-vulnerability/
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-3128
- https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
- https://www.suse.com/security/cve/CVE-2023-3128.html
- https://nvd.nist.gov/vuln/detail/CVE-2023-3128