Grafana выпустила исправления безопасности для нескольких версий своего приложения, устраняя уязвимость, которая позволяет злоумышленникам обходить аутентификацию и получать доступ к любой учетной записи Grafana, использующей Azure Active Directory для аутентификации.
Grafana — это широко используемое приложение для аналитики и интерактивной визуализации с открытым исходным кодом, которое предлагает широкие возможности интеграции с широким спектром платформ и приложений для мониторинга.
Grafana Enterprise, премиум-версия приложения с дополнительными возможностями, используется такими известными организациями, как Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal и Sony.
Обнаруженная уязвимость захвата учетной записи отслеживается как CVE-2023-3128 и получил оценку CVSS v3.1 9,4, что означает критическую серьезность.
Ошибка вызвана тем, что Grafana аутентифицирует учетные записи Azure AD на основе адреса электронной почты, настроенного в соответствующем параметре «электронная почта профиля». Однако этот параметр не уникален для всех арендаторов Azure AD, позволяя злоумышленникам создавать учетные записи Azure AD с тем же адресом электронной почты, что и законные пользователи Grafana, и использовать их для захвата учетных записей.
«Это может включить захват учетной записи Grafana и обход проверки подлинности, когда Azure AD OAuth настроен с многопользовательским приложением Azure AD OAuth», — говорится в сообщении. Консультации Grafana.
«В случае использования злоумышленник может получить полный контроль над учетной записью пользователя, включая доступ к личным данным клиентов и конфиденциальной информации».
Облако Grafana уже исправлено
Эта проблема затрагивает все развертывания Grafana, настроенные на использование Azure AD OAuth для проверки подлинности пользователей с помощью мультитенантного приложения Azure и без ограничений на то, какие группы пользователей могут проходить проверку подлинности (через конфигурацию «разрешенные_группы»).
Уязвимость присутствует во всех версиях Grafana, начиная с 6.7.0 и выше, но поставщик программного обеспечения выпустил исправления для веток 8.5, 9.2, 9.3, 9.5 и 10.0.
Рекомендуемые версии для обновления для решения проблемы безопасности:
- Графана 10.0.1 или новее
- Графана 9.5.5 или новее
- Графана 9.4.13 или новее
- Графана 9.3.16 или новее
- Графана 9.2.20 или новее
- Графана 8.5.27 или новее
Grafana Cloud уже обновлен до последних версий, так как поставщик скоординировал свои действия с облачными провайдерами, такими как Amazon и Microsoft, которые получили раннее уведомление о проблеме, находящейся под эмбарго.
Для тех, кто не может обновить свои экземпляры Grafana до безопасной версии, в бюллетене предлагаются следующие два решения:
- Зарегистрируйте одно клиентское приложение в Azure AD, что должно предотвратить любые попытки входа в систему со стороны внешних клиентов (людей за пределами организации).
- Добавьте конфигурацию «allowed_groups» в параметры Azure AD, чтобы ограничить попытки входа только членами группы из белого списка и автоматически отклонить все попытки с использованием произвольного адреса электронной почты.
Бюллетень Grafana также содержит рекомендации по устранению проблем, которые могут возникнуть в конкретных сценариях использования из-за изменений, внесенных последним патчем, поэтому обязательно прочитайте рекомендации, если вы получаете сообщение об ошибке «Сбой синхронизации пользователя» или «Пользователь уже существует».
2023-06-24 15:18:09
1687631645
#Grafana #предупреждает #критическом #обходе #аутентификации #изза #интеграции #Azure
