Un grave error de seguridad ha afectado a la aplicación web de código abierto Grafana. La explotación de la vulnerabilidad podría permitir que un atacante tome el control de la cuenta objetivo de Grafana debido a una autenticación deficiente. Grafana reparó la vulnerabilidad a tiempo para evitar una explotación generalizada.
Vulnerabilidad de Grafana OAuth
Los investigadores de seguridad de HTTPVoid han descubierto una vulnerabilidad de alta gravedad en la plataforma Grafana de código abierto. Es una plataforma de visualización basada en web de visualización y análisis interactivo para ver métricas, registros, bases de datos, etc. de múltiples fuentes.
Específicamente, el error afectó la función de inicio de sesión de la plataforma, lo que permitió a los atacantes autenticados obtener privilegios elevados. Un adversario podría realizar un ataque de origen cruzado contra las cuentas de administrador en la misma instancia para apoderarse de ellas. Según la opinión de Grafana,
Es posible que un atacante autorizado para conectarse a una instancia de Grafana a través de un IdP de OAuth configurado pueda hacerse cargo de una cuenta de Grafana existente bajo ciertas condiciones.
Al error se le asignó la identificación CVE-2022-31107 y una calificación de gravedad alta con CVSS 7.1.
La explotación del error requería que el adversario iniciara sesión en Grafana a través de OAuth mientras tenía una dirección de correo electrónico y una identificación de usuario no afiliada a Grafana. Luego, el atacante podría apuntar a una cuenta de administrador respectiva si se conoce la identificación de usuario de la cuenta. El adversario también podría establecer su propio nombre de usuario de OAuth en lugar del ID de la cuenta de la víctima y conectarse a Grafana a través del flujo de OAuth. Como se indica en la descripción de la vulnerabilidad,
Debido a la forma en que se vinculan las cuentas de usuario externas e internas durante el inicio de sesión, si se cumplen todas las condiciones anteriores, el atacante podrá iniciar sesión en la cuenta de Grafana del usuario objetivo.
Correcciones lanzadas con las respectivas versiones de Grafana
La vulnerabilidad generalmente afectó a todas las versiones de Grafana, incluida y superior a la 5.3. Como estos fueron los últimos lanzamientos antes de los parches existentes, Grafana recomendó a todos los usuarios que ejecutaran la actualización de la aplicación a la versión 5.3 o superior de inmediato.
Los proveedores lanzaron el parche con las versiones 9.0.3, 8.5.9, 8.4.10 y 8.3.10 de Grafana. Si bien es ideal para los usuarios actualizar sus sistemas a las últimas versiones de las aplicaciones, en los casos en que las actualizaciones no sean posibles, los proveedores sugieren deshabilitar los inicios de sesión de OAuth para evitar intentos maliciosos. Alternativamente, los usuarios pueden asegurarse de que los inicios de sesión de OAuth tengan una dirección de correo electrónico válida asociada con las cuentas de Grafana.
Háganos saber sus pensamientos en los comentarios.