聚焦源代码安全,网罗国内外最新资讯!
Grafana 是一款广泛使用的开源分析和交互可视化 app,通过大量监控平台和应用程序提供很多集成选择。Grafana Enterprise 是具有更多能力的付费版本,用于多家著名组织机构中,如 Wikimedia、Bloomberg、JP Morgan Chase、eBay、PayPal 和 Sony。
该漏洞是由Grafana 基于在所关联“配置邮件”设置中邮件地址对 Azure AD 账户进行认证引发的。然而,该设置在所有 Azure AD 租户中并非唯一,导致威胁行动者可使用与Grafana 合法用户邮件地址一样的地址,创建 Azure AD 账户。Grafana 在安全公告中指出,“当通过多租户 Azure AD OAuth 应用程序配置 Azure AD OAuth 时,可导致 Grafana 账户接管和认证绕过后果。如遭利用,攻击者可完全控制用户账户,包括访问客户私密数据和敏感信息等。”
该漏洞影响所有配置为使用 Azure AD OAuth进行用户认证的 Grafana 部署。这些部署的认证方式是通过多租户 Azure 应用且未对可进行验证的用户群组进行限制(通过‘allowed_groups’配置进行验证)。
该漏洞存在于6.7.0及后续所有 Grafana 版本中,不过8.5、9.2、9.3、9.5和10.0分支中已有修复方案。
推荐升级至如下版本修复该漏洞:
-
Grafana 10.0.1 或后续版本
-
Grafana 9.5.5 或后续版本
-
Grafana 9.4.13 或后续版本
-
Grafana 9.3.16 或后续版本
-
Grafana 9.2.20 或后续版本
-
Grafana 8.5.27 或后续版本
对于无法将 Grafana 实例升级至安全版本的用户,建议采取如下两种缓解措施:
1、在 Azure AD 中注册单一租户应用,阻止从外部租户(组织机构以外的人员)的登录尝试。
2、在 Azure AD 设置中增加 “allowed_groups” 配置,限制对白名单群组成员的登录尝试从而自动拒绝使用任意邮件的所有登录尝试。
Grafana 的安全公告中还给出因本次更新引入的变化,可能在特定用例场景下产生的问题,因此如发生“用户同步失败”或“用户已存在”等错误时,应仔细阅读相关安全公告。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Grafana 提醒注意严重的认证绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论