Grafana adverte sobre bypass crítico de autenticação

Grafana adverte sobre bypass crítico de autenticação devido à integração do Azure AD que dá ao atacante controle total da conta.

O Grafana lançou correções de segurança para várias versões de seu aplicativo, abordando uma vulnerabilidade que permite que os invasores ignorem a autenticação e assumam qualquer conta do Grafana que use o Azure Active Directory para autenticação.

O Grafana é um aplicativo de análise e visualização interativa de código aberto amplamente utilizado que oferece amplas opções de integração com uma ampla variedade de plataformas e aplicativos de monitoramento.

Grafana Enterprise, a versão premium do aplicativo com recursos adicionais, é usada por organizações conhecidas como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal e Sony.

A vulnerabilidade de controle de conta descoberta é rastreada como  CVE-2023-3128  e recebeu uma pontuação CVSS v3.1 de 9,4, classificando-a como gravidade crítica.

O bug é causado pela autenticação de contas do Azure AD do Grafana com base no endereço de e-mail configurado na configuração de ‘e-mail de perfil’ associada. No entanto, essa configuração não é exclusiva em todos os locatários do Azure AD, permitindo que os agentes de ameaças criem contas do Azure AD com o mesmo endereço de email dos usuários legítimos do Grafana e os usem para sequestrar contas.

Isso pode habilitar um controle de conta Grafana e um desvio de autenticação quando o Azure AD OAuth é configurado com um aplicativo multilocatário do Azure AD OAuth”, diz o  comunicado do Grafana .

Se explorado, o invasor pode obter controle total da conta de um usuário, incluindo acesso a dados privados de clientes e informações confidenciais”.

Nuvem Grafana já corrigida

O problema afeta todas as implantações do Grafana configuradas para usar o Azure AD OAuth para autenticação do usuário com um aplicativo multilocatário do Azure e sem restrições sobre quais grupos de usuários podem autenticar (por meio da configuração ‘allowed_groups’).

A vulnerabilidade está presente em todas as versões do Grafana a partir de 6.7.0 e posteriores, mas o fornecedor do software lançou correções para as ramificações 8.5, 9.2, 9.3, 9.5 e 10.0.

As versões recomendadas para atualizar para resolver o problema de segurança são:

  • Grafana 10.0.1 ou posterior
  • Grafana 9.5.5 ou posterior
  • Grafana 9.4.13 ou posterior
  • Grafana 9.3.16 ou posterior
  • Grafana 9.2.20 ou posterior
  • Grafana 8.5.27 ou posterior

O Grafana Cloud já foi atualizado para as versões mais recentes, pois o fornecedor coordenou com provedores de nuvem como Amazon e Microsoft, que receberam notificação antecipada sobre o problema sob embargo.

Para aqueles que não podem atualizar suas instâncias do Grafana para uma versão segura, o boletim sugere as duas mitigações a seguir:

  1. Registre um único aplicativo de locatário no Azure AD, o que deve impedir qualquer tentativa de logon de locatários externos (pessoas fora da organização).
  2. Adicione uma configuração “allowed_groups” às configurações do Azure AD para limitar as tentativas de entrada a membros de um grupo da lista branca, rejeitando automaticamente todas as tentativas usando um email arbitrário.

O boletim do Grafana também inclui orientação para lidar com problemas que podem surgir em cenários de caso de uso específicos devido a alterações introduzidas pelo patch mais recente, portanto, leia o aviso se receber erros de “falha na sincronização do usuário” ou “usuário já existente”.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 2549 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Compreendendo os controles criptográficos na segurança da informação | Minuto da Segurança da Informação
  2. Áreas de Tecnologia apostam no modelo Zero Trust | Minuto da Segurança da Informação
  3. Segurança dos Endpoints: Protegendo o usuário final | Minuto da Segurança da Informação

Deixe sua opinião!