ช่องโหว่ระดับ Critical ใน Grafana เสี่ยงต่อการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

Grafana เป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับการวิเคราะห์ และแสดงผลข้อมูล ถูกพบว่ามีช่องโหว่ระดับ Critical ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution)

ช่องโหว่นี้มีหมายเลข CVE-2024-9264 ซึ่งมีคะแนน CVSS v4 อยู่ที่ 9.4 ใน Grafana เวอร์ชัน 11 ที่เปิดตัวในเดือนพฤษภาคม 2024 ตามที่ Grafana Labs เปิดเผยเมื่อวันพฤหัสบดีที่ผ่านมา ช่องโหว่นี้เกิดจาก experimental feature ที่เรียกว่า SQL Expressions ซึ่งอนุญาตให้มีการประมวลผล data source query outputs ไปยังระบบจัดการฐานข้อมูลโอเพ่นซอร์ส DuckDB

ฟีเจอร์ SQL Expressions ของ Grafana ไม่ได้กรองคำสั่ง SQL ที่ส่งไปยัง DuckDB command line interface (CLI) อย่างเหมาะสม ซึ่งอาจทำให้เกิด Command Injection และ Local File Inclusion ผ่านการ query ที่เป็นอันตราย ช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้โดยผู้ใช้งานที่มีสิทธิ์ “viewer” หรือสูงกว่า ตามข้อมูลจาก Grafana Labs

ฟีเจอร์ SQL Expression ถูกเปิดใช้งานเป็นค่าเริ่มต้นสำหรับ Grafana API อย่างไรก็ตาม Grafana Labs ได้ระบุว่าช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้ก็ต่อเมื่อมีการติดตั้ง DuckDB binary และวางไว้ใน PATH ของ Grafana process ซึ่งไม่ได้เป็นค่าเริ่มต้น

SC Media ได้ติดต่อ Grafana เพื่อสอบถามว่ามีผู้ใช้งานกี่รายที่ใช้เวอร์ชันที่มีช่องโหว่ และสามารถถูกโจมตีได้ แต่ยังไม่ได้รับการตอบกลับ แพลตฟอร์ม open-source intelligence (OSINT) ชื่อ "Netlas.io" รายงานว่าในวันศุกร์ที่ผ่านมามี Grafana instances กว่า 100,000 รายการที่ “น่าจะมีช่องโหว่ CVE-2024-9264” ซึ่งเกือบ 19,000 รายการอยู่ในสหรัฐอเมริกา

วิธีการแพตช์ Grafana CVE-2024-9264

Grafana ได้ปล่อยเวอร์ชันใหม่ 6 เวอร์ชันที่แก้ไขช่องโหว่ระดับ Critical โดยมีรายการดาวน์โหลด 3 รายการที่มีเฉพาะ security fix และ 3 รายการที่จะแก้ไขช่องโหว่ ในขณะเดียวกันก็จะช่วยอัปเกรดผู้ใช้เป็น Grafana เวอร์ชันล่าสุดด้วย

ผู้ใช้งานที่ต้องการติดตั้งแพตช์โดยไม่ต้องการติดตั้งเวอร์ชันล่าสุด สามารถดาวน์โหลดเวอร์ชัน 11.0.5+security-01, 11.1.6+security-01 หรือ 11.2.1+security-01 ได้

ผู้ใช้งานยังสามารถแพตช์ และอัปเกรดไปยังเวอร์ชันล่าสุดพร้อมกันโดยการติดตั้งเวอร์ชัน 11.0.6+security-01, 11.1.7+security-01 หรือ 11.2.2+security-01 ได้อีกด้วย

ในขณะที่ Grafana Labs แนะนำให้ดาวน์โหลดแพตช์ด้านความปลอดภัย “โดยเร็วที่สุด” ผู้ใช้งานยังสามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยการลบ DuckDB binary ออกจากระบบ หรือจาก PATH ที่สามารถเข้าถึง SQL Expressions ซึ่งเป็นฟีเจอร์เดียวของ Grafana ที่ใช้ DuckDB

ช่องโหว่นี้ถูกค้นพบครั้งแรกโดยพนักงานของ Grafana เมื่อวันที่ 26 กันยายน 2024 และ Grafana เริ่มปล่อยแพตช์ด้านความปลอดภัยไปยังช่องทางทั้งหมดสำหรับ Grafana Cloud ในวันถัดไป ตามข้อมูลจากไทม์ไลน์ที่เผยแพร่โดย Grafana Labs

ภายในวันที่ 1 ตุลาคม แพตช์ได้ถูกติดตั้งเสร็จสิ้นใน Grafana Cloud instances ทั้งหมด และแพตช์สำหรับ Grafana Open-Source Software (OSS) และ Grafana Enterprise จะเริ่มเผยแพร่แบบ private ในวันที่ 3 ตุลาคม แพตช์นี้จะลบฟังก์ชันการทำงานของ SQL Expressions ออกไปโดยสิ้นเชิง

ที่มา : scworld