SK-CERT Bezpečnostné varovanie V20241021-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.9

Identifikátor

Grafana – kritická bezpečnostná zraniteľnosť

Popis

Vývojári nástroja na vizualizáciu údajov Grafana vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-9264 spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom SQL injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Kritická bezpečnostná zraniteľnosť sa nachádza v experimentálnej funkcii s názvom „SQL Expressions“, ktorá je v predvolenej konfigurácii povolená. Pre zneužitie predmetnej zraniteľnosti je nevyhnutné splniť nasledujúce podmienky: v systéme musí byť nainštalovaná DuckDB a v prostredí Grafana musí byť prístupný PATH odkaz na DuckDB. DuckDB sa v predvolenom nastavení neinštaluje v spoločnom balíčku s Grafanou. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód.

Dátum prvého zverejnenia varovania

17.10.2024

CVE

CVE-2024-9264

IOC

–

Zasiahnuté systémy

Grafana vo verzii staršej ako 11.0.5+security-01 Grafana vo verzii staršej ako 11.1.6+security-01 Grafana vo verzii staršej ako 11.2.1+security-01 Grafana vo verzii staršej ako v11.0.6+security-01 Grafana vo verzii staršej ako 11.1.7+security-01 Grafana vo verzii staršej ako v11.2.2+security-01

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Pre dočasnú mitigáciu vývojári odporúčajú v Grafane odstrániť cestu k súboru DuckDB alebo DuckDB úplne odstrániť zo systému.

Zdroje

https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/ https://exchange.xforce.ibmcloud.com/vulnerabilities/382708 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0899/ https://dev.to/carrie_luo1/poc-of-grafana-post-auth-duckdb-sql-injection-file-read-cve-2024-9264-1pnm

« Späť na zoznam