Luka directory traversal w Grafana 8.x – aktualizuj!

Niebezpieczna luka dotycząca „directory traversal” ( CVE-2021-43798 ) czyli przechodzenia przez katalogi i uzyskanie dostępu do plików lokalnych w wersjach od Grafana 8.0.0-beta1 do 8.3.0. Aktualizuj jak najszybciej.

Grafana to narzędzie „open source”, które służy do agregowania, analizy i wizualizacji danych metrycznych na serwerach, obsługujące m.in. źródła danych takie jak MySQL, PostgreSQL, Graphite, Elasticsearch, OpenTSDB, Prometheus czy InfluxDB. Oprócz systemów Linux, Grafanę możemy również uruchomić na Windows czy MacOS i cieszyć oko wizualizacją wpływających danych.

Niestety, jeżeli nie używasz usługi Grafana Cloud tylko postawiłeś własną instancję Grafana 8.x na swoim serwerze musisz wykonywać aktualizacje. Teraz jest to konieczność.

Ostatni raz tak poważna podatność w Grafanie była opisywana w 2020 roku Grafana 6.7.4 i 7.0.2 z ważną poprawką bezpieczeństwa – HitMe Blog Hosting więc takie problemy nie pojawiają się często w Grafanie.

Bardzo poważna luka w Grafana

Co to jest Directory traversal?

Directory traversal lub inaczej „path file path traversal” to podatność w zabezpieczeniach aplikacji sieci, umożliwiająca atakującemu odczytywanie dowolnych plików na serwerze, na którym działa aplikacja.

Podatna ścieżka adresu URL to: <grafana_host_url>/public/plugins/<„id-wtyczki”> ,gdzie <„id-wtyczki”> jest identyfikatorem każdej zainstalowanej wtyczki.

Przykładowe adresy URL podatne na ataki:

• <grafana_host_url>/public/plugins/alertlist/
• <grafana_host_url>/public/plugins/annolist/
• <grafana_host_url>/public/plugins/barchart/
• <grafana_host_url>/public/plugins/bargauge/
• <grafana_host_url>/public/plugins/candlestick/
• <grafana_host_url>/public/plugins/cloudwatch/
• <grafana_host_url>/public/plugins/dashlist/
• <grafana_host_url>/public/plugins/elasticsearch/
• <grafana_host_url>/public/plugins/gauge/
• <grafana_host_url>/public/plugins/geomap/
• <grafana_host_url>/public/plugins/gettingstarted/
• <grafana_host_url>/public/plugins/grafana-azure-monitor-datasource/
• <grafana_host_url>/public/plugins/graph/
• <grafana_host_url>/public/plugins/heatmap/
• <grafana_host_url>/public/plugins/histogram/
• <grafana_host_url>/public/plugins/influxdb/
• <grafana_host_url>/public/plugins/jaeger/
• <grafana_host_url>/public/plugins/logs/
• <grafana_host_url>/public/plugins/loki/
• <grafana_host_url>/public/plugins/mssql/
• <grafana_host_url>/public/plugins/mysql/
• <grafana_host_url>/public/plugins/news/
• <grafana_host_url>/public/plugins/nodeGraph/
• <grafana_host_url>/public/plugins/opentsdb
• <grafana_host_url>/public/plugins/piechart/
• <grafana_host_url>/public/plugins/pluginlist/
• <grafana_host_url>/public/plugins/postgres/
• <grafana_host_url>/public/plugins/prometheus/
• <grafana_host_url>/public/plugins/stackdriver/
• <grafana_host_url>/public/plugins/stat/
• <grafana_host_url>/public/plugins/state-timeline/
• <grafana_host_url>/public/plugins/status-history/
• <grafana_host_url>/public/plugins/table/
• <grafana_host_url>/public/plugins/table-old/
• <grafana_host_url>/public/plugins/tempo/
• <grafana_host_url>/public/plugins/testdata/
• <grafana_host_url>/public/plugins/text/
• <grafana_host_url>/public/plugins/timeseries/
• <grafana_host_url>/public/plugins/welcome/
• <grafana_host_url>/public/plugins/zipkin/

Wynik CVSS dla tej podatności został oszacowany na 7.5 (Wysoki). Trwa już masowe exploitowanie tej podatności – dlatego wspominamy o aktualizacji.

Zaktualizuj Grafana 8.x jak najszybciej.

Jak alarmują autorzy Grafana wszystkie instalacja pomiędzy wersją v8.0.0-beta1 włącznie z v8.3.0 powinny być zaktualizowane jak najszybciej to możliwe.

Odpowiednia łatka została już udostępniona w repozytoriach.

W zależności od metody instalacji i systemu operacyjnego pamiętaj aby wykonać kopię zapasową bazy Grafany /var/lib/grafana/grafana.db jak i katalogu wtyczek /var/lib/grafana/plugins a także pliku konfiguracyjnego grafana.ini zlokalizowanego np. w /etc/grafana. Zawsze warto mieć kopię 😉

Pamiętajmy, musimy zaktualizować do wersji 8.0.7, 8.1.8, 8.2.7 lub 8.3.1 co owyeliminuje tę podatność.