Escalada crítica de privilégios SCIM no Grafana Enterprise

26/11/2025 mindsecblog Notícias 0

Ameaça emergente: CVE-2025-41115 – Escalada crítica de privilégios SCIM no Grafana Enterprise

O que é CVE-2025-41115?

A vulnerabilidade CVE-2025-41115 é uma vulnerabilidade crítica de escalonamento de privilégios e personificação de usuário no Grafana Enterprise. O problema ocorre no recurso de provisionamento SCIM (System for Cross-domain Identity Management). Quando o SCIM está habilitado, o Grafana mapeia incorretamente o campo externalId fornecido por um cliente SCIM para um UID interno user.uid. Isso permite que um cliente SCIM malicioso ou comprometido crie um usuário cujo externalId corresponda ao UID de uma conta privilegiada existente — principalmente o usuário administrador padrão ( uid=1). O Grafana então trata a conta criada pelo atacante como esse usuário privilegiado, concedendo acesso administrativo irrestrito sem alertar os defensores.

Como o tráfego de provisionamento SCIM geralmente parece legítimo, as ferramentas de monitoramento tradicionais podem não detectar a atividade maliciosa. A vulnerabilidade é classificada como CVSS 10.0 (Crítica) devido à sua simplicidade, confiabilidade e potencial para comprometimento total do sistema.

Uma vez explorada, a vulnerabilidade permite que um invasor se faça passar por um administrador, manipule painéis e alertas, acesse bancos de dados conectados e dados de observabilidade, além de se infiltrar em outros sistemas integrados. Isso torna a vulnerabilidade especialmente perigosa para organizações que dependem do Grafana como console central de monitoramento ou operações.

Quais ativos são afetados pela vulnerabilidade CVE-2025-41115?

A vulnerabilidade CVE-2025-41115 afeta instalações do Grafana Enterprise 12.x com SCIM habilitado. As versões afetadas incluem:

  • 12.0.0 a 12.2.1
  • enableSCIM = true
  • [auth.scim].user_sync_enabled = true

O Grafana OSS não é afetado porque o SCIM é um recurso exclusivo da versão Enterprise. Instâncias com o SCIM desativado não são vulneráveis. Ofertas de nuvem gerenciada, como o Amazon Managed Grafana e o Azure Managed Grafana, já aplicaram as correções necessárias. Os ativos de maior risco são instâncias do Grafana Enterprise expostas à internet, que possuem endpoints de login ou SCIM. Esses ativos são comumente encontrados em contas de nuvem, subsidiárias ou ambientes de TI descentralizados, onde a visibilidade é limitada.

Existem soluções disponíveis?

Sim. O Grafana Labs lançou versões corrigidas para todas as ramificações afetadas. As seguintes versões incluem a correção para CVE-2025-41115:

  • 12.0.6+segurança-01
  • 12.1.3+segurança-01
  • 12.2.1+segurança-01
  • 12.3.0

Organizações que utilizam o Grafana Enterprise 12.x com o SCIM ativado devem atualizar imediatamente. Desativar o SCIM até a atualização oferece proteção temporária.

Além da aplicação de patches, as organizações devem tomar as seguintes medidas:

  • Analise se o SCIM é realmente necessário. Desative-o e remova os tokens da API SCIM não utilizados, caso não seja estritamente necessário.
  • Restrinja o acesso à rede para que apenas provedores de identidade autorizados ou sistemas de provisionamento possam acessar os endpoints SCIM.
  • Analise os registros de provisionamento em busca de entradas suspeitas, especialmente usuários recém-criados com valores externalId numéricos associados a contas privilegiadas.
  • Avalie os sistemas subsequentes conectados ao Grafana, pois uma conta de administrador comprometida pode expor infraestrutura adicional.

A vulnerabilidade CVE-2025-41115 está sendo explorada ativamente?

Até o momento, não há relatos confirmados de exploração generalizada, e a vulnerabilidade não consta no catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA.

No entanto, o código de prova de conceito do exploit está disponível publicamente, pesquisadores de segurança demonstraram a capacidade de assumir o controle de contas de administrador de forma confiável e a vulnerabilidade CVE está em alta nos feeds de inteligência de ameaças. Como o caminho do ataque é direto e requer conhecimento mínimo, a exploração precoce é altamente provável — especialmente contra instâncias expostas à internet.

Como a CyCognito está ajudando os clientes a identificar ativos vulneráveis ​​ao CVE-2025-41115?

A CyCognito descobre e analisa continuamente ativos expostos externamente para ajudar as organizações a entender se a vulnerabilidade CVE-2025-41115 pode afetar seu ambiente. A plataforma identifica instâncias do Grafana Enterprise em risco na internet pública, destaca as condições de exposição que aumentam a probabilidade de exploração, como implantações voltadas para a internet onde o provisionamento SCIM pode estar habilitado, e prioriza a correção com base na importância para os negócios e no impacto potencial.

Um alerta de ameaça emergente para CVE-2025-41115 foi adicionado à plataforma CyCognito em 23 de novembro, e a CyCognito está pesquisando ativamente melhorias na cobertura de detecção para essa vulnerabilidade. A plataforma já identifica ativos expostos vinculados às tecnologias Grafana, e a CyCognito recomenda que os clientes revisem quaisquer sistemas Grafana Enterprise voltados para a internet — especialmente aqueles que possam ter o SCIM habilitado — para avaliar a possível exposição, mesmo que ainda não tenham sido explicitamente identificados como executando uma das versões afetadas.

Visite a página de Ameaças Emergentes da CyCognito para obter mais informações sobre vulnerabilidades relacionadas.

Como a CyCognito pode ajudar sua organização?

O CyCognito ajuda você a encontrar todos os ativos do Grafana expostos externamente, incluindo aqueles cuja existência você desconhecia, e verifica se eles podem ser afetados pela vulnerabilidade CVE-2025-41115, em vez de gerar ruído. Ao vincular a exposição ao contexto de negócios, o CyCognito destaca quais sistemas são mais importantes, permitindo que as equipes de segurança se concentrem primeiro nos riscos reais, acompanhem o progresso da correção e monitorem continuamente a possibilidade de nova exposição à medida que os ambientes mudam.

Se a sua infraestrutura externa inclui o Grafana Enterprise — especialmente em implantações onde o SCIM pode estar habilitado — certifique-se de que ele esteja atualizado para uma versão com os patches de segurança aplicados e restrinja o acesso aos endpoints de provisionamento. Para saber como a CyCognito pode ajudar você a entender sua superfície de ataque externa e os riscos aos quais você está exposto, visite a página de Contato de nosso representante para agendar uma demonstração.

Fonte: CYCOGNITO

Veja também:

About mindsecblog 3338 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Malware de roubo de credenciais para acesso remoto lidera ranking

14/11/2023 mindsecblog Artigos, Notícias 8

Malware de roubo de credenciais para acesso remoto lidera ranking mensal do Brasil. A Check Point Research informou que o Trojan de acesso remoto NJRat, que visa agências e organizações governamentais, subiu para a segunda posição […]

Artigos

Qbot lança campanha global e predomina como principal malware no Brasil

17/05/2023 mindsecblog Artigos, Notícias 4

Qbot lança campanha global e predomina como principal malware no Brasil. No Índice Global de Ameaças, a Check Point Research relata a descoberta de uma campanha substancial de malspam para o Qbot; enquanto isso, o […]

Artigos

Top 10 ameaças à segurança de APIs

20/11/2023 mindsecblog Artigos, Notícias 1

Top 10 ameaças à segurança de APIs. O novo relatório fornece uma visão detalhada das ameaças em constante mudança direcionadas às APIs.   As duas principais conclusões de um novo relatório ‘API Threatstats’ do terceiro […]

Be the first to comment

Deixe sua opinião!