Luka directory traversal w Grafana 8.x – aktualizuj!

Obrazek dla Luka directory traversal w Grafana 8.x – aktualizuj!

Niebezpieczna luka dotycząca „directory traversal” ( CVE-2021-43798 ) czyli przechodzenia przez katalogi i uzyskanie dostępu do plików lokalnych w wersjach od Grafana 8.0.0-beta1 do 8.3.0. Aktualizuj jak najszybciej.

Grafana to narzędzie „open source”, które służy do agregowania, analizy i wizualizacji danych metrycznych na serwerach, obsługujące m.in. źródła danych takie jak MySQL, PostgreSQL, Graphite, Elasticsearch, OpenTSDB, Prometheus czy InfluxDB. Oprócz systemów Linux, Grafanę możemy również uruchomić na Windows czy MacOS i cieszyć oko wizualizacją wpływających danych.

Niestety, jeżeli nie używasz usługi Grafana Cloud tylko postawiłeś własną instancję Grafana 8.x na swoim serwerze musisz wykonywać aktualizacje. Teraz jest to konieczność.

Ostatni raz tak poważna podatność w Grafanie była opisywana w 2020 roku Grafana 6.7.4 i 7.0.2 z ważną poprawką bezpieczeństwa – HitMe Blog Hosting więc takie problemy nie pojawiają się często w Grafanie.

Bardzo poważna luka w Grafana

Co to jest Directory traversal?

Directory traversal lub inaczej „path file path traversal” to podatność w zabezpieczeniach aplikacji sieci, umożliwiająca atakującemu odczytywanie dowolnych plików na serwerze, na którym działa aplikacja.

Podatna ścieżka adresu URL to: <grafana_host_url>/public/plugins/<„id-wtyczki”> ,gdzie <„id-wtyczki”> jest identyfikatorem każdej zainstalowanej wtyczki.

Przykładowe adresy URL podatne na ataki:

  • <grafana_host_url>/public/plugins/alertlist/
  • <grafana_host_url>/public/plugins/annolist/
  • <grafana_host_url>/public/plugins/barchart/
  • <grafana_host_url>/public/plugins/bargauge/
  • <grafana_host_url>/public/plugins/candlestick/
  • <grafana_host_url>/public/plugins/cloudwatch/
  • <grafana_host_url>/public/plugins/dashlist/
  • <grafana_host_url>/public/plugins/elasticsearch/
  • <grafana_host_url>/public/plugins/gauge/
  • <grafana_host_url>/public/plugins/geomap/
  • <grafana_host_url>/public/plugins/gettingstarted/
  • <grafana_host_url>/public/plugins/grafana-azure-monitor-datasource/
  • <grafana_host_url>/public/plugins/graph/
  • <grafana_host_url>/public/plugins/heatmap/
  • <grafana_host_url>/public/plugins/histogram/
  • <grafana_host_url>/public/plugins/influxdb/
  • <grafana_host_url>/public/plugins/jaeger/
  • <grafana_host_url>/public/plugins/logs/
  • <grafana_host_url>/public/plugins/loki/
  • <grafana_host_url>/public/plugins/mssql/
  • <grafana_host_url>/public/plugins/mysql/
  • <grafana_host_url>/public/plugins/news/
  • <grafana_host_url>/public/plugins/nodeGraph/
  • <grafana_host_url>/public/plugins/opentsdb
  • <grafana_host_url>/public/plugins/piechart/
  • <grafana_host_url>/public/plugins/pluginlist/
  • <grafana_host_url>/public/plugins/postgres/
  • <grafana_host_url>/public/plugins/prometheus/
  • <grafana_host_url>/public/plugins/stackdriver/
  • <grafana_host_url>/public/plugins/stat/
  • <grafana_host_url>/public/plugins/state-timeline/
  • <grafana_host_url>/public/plugins/status-history/
  • <grafana_host_url>/public/plugins/table/
  • <grafana_host_url>/public/plugins/table-old/
  • <grafana_host_url>/public/plugins/tempo/
  • <grafana_host_url>/public/plugins/testdata/
  • <grafana_host_url>/public/plugins/text/
  • <grafana_host_url>/public/plugins/timeseries/
  • <grafana_host_url>/public/plugins/welcome/
  • <grafana_host_url>/public/plugins/zipkin/

Wynik CVSS dla tej podatności został oszacowany na 7.5 (Wysoki). Trwa już masowe exploitowanie tej podatności – dlatego wspominamy o aktualizacji.

Zaktualizuj Grafana 8.x jak najszybciej.

Jak alarmują autorzy Grafana wszystkie instalacja pomiędzy wersją v8.0.0-beta1 włącznie z v8.3.0 powinny być zaktualizowane jak najszybciej to możliwe.

Odpowiednia łatka została już udostępniona w repozytoriach.

W zależności od metody instalacji i systemu operacyjnego pamiętaj aby wykonać kopię zapasową bazy Grafany /var/lib/grafana/grafana.db jak i katalogu wtyczek /var/lib/grafana/plugins a także pliku konfiguracyjnego grafana.ini zlokalizowanego np. w /etc/grafana. Zawsze warto mieć kopię 😉

Pamiętajmy, musimy zaktualizować do wersji 8.0.7, 8.1.8, 8.2.7 lub 8.3.1 co owyeliminuje tę podatność.

Przegląd prywatności
hitme logo

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Facebook Pixel

Używamy narzędzia Facebook Pixel, aby śledzić działania użytkowników na naszej stronie internetowej. Facebook Pixel umożliwia nam analizowanie skuteczności reklam oraz tworzenie spersonalizowanych treści marketingowych. Dzięki temu możemy lepiej dostosować naszą ofertę do Twoich potrzeb. Zbierane dane mogą obejmować m.in. informacje o odwiedzonych stronach, kliknięciach oraz konwersjach.

Bezpieczna analityka

W celu lepszej analizy ruchu na naszej stronie internetowej korzystamy z narzędzia Matomo Analytics. Matomo jest hostowane w naszej infrastrukturze, a zbierane dane nie są udostępniane żadnym podmiotom zewnętrznym. Informacje o Twojej aktywności na stronie służą jedynie do analizy statystycznej oraz poprawy jakości naszych usług, zgodnie z przepisami RODO/GDPR.

Dane są w pełni anonimowe i nie są przekazywane poza naszą firmę.