漏洞公告
近日,安恒信息CERT监测到Grafana存在身份认证绕过漏洞(CVE-2023-3128),目前技术细节及PoC未公开。由于在Azure AD上,配置文件的电子邮件字段不是唯一的,可以很容易地被修改,这使得远程攻击者可以通过该漏洞实现认证绕过。
漏洞信息
Grafana是一个开源的数据可视化和监控平台,用于创建、分析和可视化各种类型的数据。它提供了强大的仪表盘和图表功能,使用户能够直观地探索和呈现数据。Grafana支持多种数据源,包括时序数据库(如InfluxDB、Prometheus、Graphite)、关系型数据库(如MySQL、PostgreSQL)、日志文件和其他API。用户可以通过配置数据源连接到不同的数据存储,以便从中提取数据并进行分析。
| 漏洞标题 | Grafana存在身份认证绕过漏洞 | ||
| 应急响应等级 | 3级 | ||
| 漏洞类型 | 身份认证绕过 | ||
| 影响目标 | 影响厂商 | Grafana | |
| 影响产品 | Grafana | ||
| 影响版本 | [6.7.0,+∞) | ||
| 安全版本 | 10.0.1、9.5.5、9.4.13、9.3.16、9.2.20 、8.5.27 | ||
| 漏洞编号 | CVE编号 | CVE-2023-3128 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 | DM-202306-000424 | ||
| 漏洞标签 | Web应用 | ||
| CVSS3.1评分 | 9.4 | 危害等级 | 严重 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 低 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 分析中 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
该产品主要使用客户行业分布为广泛,基于CVSS3.1评分该漏洞无需前置条件,漏洞危害性极高,建议客户尽快做好自查及防护。
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议更新至安全版本:10.0.1、9.5.5、9.4.13、9.3.16、9.2.20 、8.5.27
https://grafana.com/grafana/download/10.0.1/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.5.5/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.4.13/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.3.16/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.2.20/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/8.5.27/?pg=blog&plcmt=body-txt
临时缓解措施:
将allowed_groups配置添加到 Azure AD 配置,将确保当用户登录时,他们也是 Azure AD 中组的成员。
在 Azure AD 中注册单租户应用程序。
网空资产测绘
根据安恒Sumap全球网络空间资产测绘近三个月数据显示,该资产主要分布在中国,国内资产较多。
根据实际调研使用量,该漏洞影响资产面较大,主要部署于外部网络。建议客户尽快做好资产排查。
参考资料
https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
https://nvd.nist.gov/vuln/detail/CVE-2023-3128
https://grafana.com/grafana/download/10.0.1/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.5.5/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.4.13/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.3.16/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/9.2.20/?pg=blog&plcmt=body-txt
https://grafana.com/grafana/download/8.5.27/?pg=blog&plcmt=body-txt
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑。
安恒信息CERT
2023年6月
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...