Grafana แจ้งเตือนช่องโหว่ระดับ Critical ในการ bypass authentication จากการ integration Azure AD

Grafana เผยแพร่แพตซ์อัปเดต เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยสำหรับแอปพลิเคชันหลายเวอร์ชัน โดยแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถ bypass การ authentication และเข้ายึดครองบัญชี Grafana ที่ใช้ Azure Active Directory สำหรับการตรวจสอบสิทธิ์ได้

Grafana เป็นแอปพลิเคชัน analytics และ interactive visualization แบบโอเพนซอร์ส ที่ถูกใช้อย่างแพร่หลาย ซึ่งมีตัวเลือกการ integration และ monitoring ที่หลากหลาย

Grafana Enterprise เป็นเวอร์ชันระดับพรีเมี่ยมของแอปพลิเคชัน ซึ่งมาพร้อมกับความสามารถเพิ่มเติมที่ถูกนำมาใช้โดยองค์กรที่มีชื่อเสียงต่าง ๆ เช่น Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal และ Sony

โดยช่องโหว่ที่พบมีหมายเลข CVE-2023-3128 และได้รับคะแนน CVSS v3.1 ที่ 9.4 ซึ่งมีความรุนแรงระดับ critical

โดยช่องโหว่เกิดจากการตรวจสอบสิทธิ์บัญชี Azure AD ของ Grafana ตามที่อยู่อีเมลที่กำหนดค่าในการตั้งค่า 'profile email' ที่เกี่ยวข้อง อย่างไรก็ตาม การตั้งค่านี้ไม่ซ้ำกันใน Azure AD tenants ทั้งหมด ทำให้ผู้โจมตีสามารถสร้างบัญชี Azure AD ด้วยที่อยู่อีเมลเดียวกันกับผู้ใช้ Grafana ที่ถูกต้อง และใช้เพื่อ hijack accounts ได้

หากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเข้าควบคุมบัญชีผู้ใช้ได้อย่างสมบูรณ์ รวมถึงการเข้าถึงข้อมูลส่วนตัวของลูกค้า และข้อมูลที่มีความสำคัญ

ปัญหานี้ส่งผลกระทบต่อการปรับใช้ Grafana ทั้งหมดที่กำหนดค่าให้ใช้ Azure AD OAuth สำหรับการตรวจสอบสิทธิ์ของผู้ใช้งานด้วยแอปพลิเคชัน Azure แบบหลาย tenant และไม่มีข้อจำกัดว่ากลุ่มผู้ใช้งานใดสามารถตรวจสอบสิทธิ์ได้ (ผ่านการกำหนดค่า 'allowed_groups')

ช่องโหว่ดังกล่าวกระทบกับ Grafana ทุกเวอร์ชันตั้งแต่ 6.7.0 เป็นต้นไป โดย Grafana ได้เผยแพร่แพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ในเวอร์ชัน 8.5, 9.2, 9.3, 9.5 และ 10.0

เวอร์ชันที่แนะนำให้อัปเกรดเพื่อแก้ไขปัญหาด้านความปลอดภัยคือ:

  • Grafana 10.0.1 หรือใหม่กว่า
  • Grafana 9.5.5 หรือใหม่กว่า
  • Grafana 9.4.13 หรือใหม่กว่า
  • Grafana 9.3.16 หรือใหม่กว่า
  • Grafana 9.2.20 หรือใหม่กว่า
  • Grafana 8.5.27 หรือใหม่กว่า

Grafana Cloud ได้รับการอัปเกรดเป็นเวอร์ชันล่าสุดแล้ว เนื่องจาก Grafana ได้ประสานงานกับผู้ให้บริการคลาวด์อย่าง Amazon และ Microsoft ซึ่งได้รับการแจ้งเตือนล่วงหน้าเกี่ยวกับปัญหาดังกล่าว

สำหรับผู้ที่ไม่สามารถอัปเกรดอินสแตนซ์ Grafana เป็นเวอร์ชันที่ปลอดภัยได้ แนะนำดังต่อไปนี้:

  1. Register a single tenant application ใน Azure AD ซึ่งควรป้องกันการพยายามเข้าสู่ระบบจาก external tenants (บุคคลภายนอกองค์กร)
  2. เพิ่มการกำหนดค่า "allowed_groups" ให้กับการตั้งค่า Azure AD เพื่อจำกัดการเข้าใช้สำหรับรายชื่อใน white-listed เท่านั้น

ที่มา : bleepingcomputer