Grafana adverte sobre bypass crítico de autenticação

30/06/2023 mindsecblog Notícias 3

Grafana adverte sobre bypass crítico de autenticação devido à integração do Azure AD que dá ao atacante controle total da conta.

O Grafana lançou correções de segurança para várias versões de seu aplicativo, abordando uma vulnerabilidade que permite que os invasores ignorem a autenticação e assumam qualquer conta do Grafana que use o Azure Active Directory para autenticação.

O Grafana é um aplicativo de análise e visualização interativa de código aberto amplamente utilizado que oferece amplas opções de integração com uma ampla variedade de plataformas e aplicativos de monitoramento.

Grafana Enterprise, a versão premium do aplicativo com recursos adicionais, é usada por organizações conhecidas como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal e Sony.

A vulnerabilidade de controle de conta descoberta é rastreada como CVE-2023-3128 e recebeu uma pontuação CVSS v3.1 de 9,4, classificando-a como gravidade crítica.

O bug é causado pela autenticação de contas do Azure AD do Grafana com base no endereço de e-mail configurado na configuração de ‘e-mail de perfil’ associada. No entanto, essa configuração não é exclusiva em todos os locatários do Azure AD, permitindo que os agentes de ameaças criem contas do Azure AD com o mesmo endereço de email dos usuários legítimos do Grafana e os usem para sequestrar contas.

“Isso pode habilitar um controle de conta Grafana e um desvio de autenticação quando o Azure AD OAuth é configurado com um aplicativo multilocatário do Azure AD OAuth”, diz o comunicado do Grafana .

“Se explorado, o invasor pode obter controle total da conta de um usuário, incluindo acesso a dados privados de clientes e informações confidenciais”.

Nuvem Grafana já corrigida

O problema afeta todas as implantações do Grafana configuradas para usar o Azure AD OAuth para autenticação do usuário com um aplicativo multilocatário do Azure e sem restrições sobre quais grupos de usuários podem autenticar (por meio da configuração ‘allowed_groups’).

A vulnerabilidade está presente em todas as versões do Grafana a partir de 6.7.0 e posteriores, mas o fornecedor do software lançou correções para as ramificações 8.5, 9.2, 9.3, 9.5 e 10.0.

As versões recomendadas para atualizar para resolver o problema de segurança são:

Grafana 10.0.1 ou posterior
Grafana 9.5.5 ou posterior
Grafana 9.4.13 ou posterior
Grafana 9.3.16 ou posterior
Grafana 9.2.20 ou posterior
Grafana 8.5.27 ou posterior

O Grafana Cloud já foi atualizado para as versões mais recentes, pois o fornecedor coordenou com provedores de nuvem como Amazon e Microsoft, que receberam notificação antecipada sobre o problema sob embargo.

Para aqueles que não podem atualizar suas instâncias do Grafana para uma versão segura, o boletim sugere as duas mitigações a seguir:

Registre um único aplicativo de locatário no Azure AD, o que deve impedir qualquer tentativa de logon de locatários externos (pessoas fora da organização).
Adicione uma configuração “allowed_groups” às configurações do Azure AD para limitar as tentativas de entrada a membros de um grupo da lista branca, rejeitando automaticamente todas as tentativas usando um email arbitrário.

O boletim do Grafana também inclui orientação para lidar com problemas que podem surgir em cenários de caso de uso específicos devido a alterações introduzidas pelo patch mais recente, portanto, leia o aviso se receber erros de “falha na sincronização do usuário” ou “usuário já existente”.