【复现】Grafana 身份验证绕过漏洞(CVE-2023-3128)风险通告
2023-6-26 18:22:40 Author: 赛博昆仑CERT(查看原文) 阅读量:1120 收藏

-赛博昆仑漏洞安全通告-

Grafana 身份验证绕过漏洞(CVE-2023-3128)风险通告

漏洞描述

Grafana 是一个开源的监控数据分析和可视化套件。最常用于对基础设施和应用数据分析的时间序列数据进行可视化分析,也可以用于其他需要数据可视化分析的领域。Grafana 可以帮助查询、可视化、告警、分析你所在意的指标和数据。可以与整个团队共享,有助于培养团队的数据驱动文化。

近日,赛博昆仑监测到 Grafana 身份验证绕过漏洞的漏洞情报。当使用多租户Azure AD OAuth应用程序配置Azure AD OAauth时,因为配置文件电子邮件字段在Azure AD租户中不是唯一的,这可能会导致Grafana帐户接管和身份验证绕过。配置了Azure AD OAuth且配置了多租户Azure应用程序且未配置allowed_groups的所有Grafana都会受到影响。未授权的攻击者可以利用此漏洞完全控制其他用户的帐户。2023年6月22号 Grafana 官方发布了漏洞公告。赛博昆仑已经确认该漏洞利用原理,为了更好地帮助客户阻止攻击,我们发布漏洞预警应急方案应对漏洞攻击开展排查和补救措施,以避免潜在的重大安全风险和损失。

漏洞名称

Grafana 身份验证绕过漏洞

漏洞公开编号

CVE-2023-3128

昆仑漏洞库编号

CYKL-2023-009298

漏洞类型

身份验证绕过

公开时间

2023-6-22

漏洞等级

高危

评分

9.4

漏洞所需权限

漏洞利用难度

PoC状态

未知

EXP状态

未知

漏洞细节

已公开

在野利用

已公开

影响版本
Grafana 10.0.x < 10.0.1
Grafana 9.5.x < 9.5.5
Grafana 9.4.x < 9.4.13
Grafana 9.3.x <9.3.16
Grafana 9.2.x < 9.2.20
Grafana 8.5.x < 8.5.27
利用条件

需同时满足以下条件:

1. Grafana 开启 Azure AD OAauth
2. 使用多租户Azure AD OAuth应用程序配置Azure AD OAauth
漏洞复现

赛博昆仑CERT已成功复现。复现步骤如下:

将电子邮件字段修改为 test 账户的邮箱,并且使用恶意账户登录,即可绕过身份认证接管 test 管理员账户。
防护措施
  • 修复建议

目前,官方已发布安全补丁,建议受影响的用户尽快安装安全补丁进行防护,可通过以下链接进行手动更新:https://grafana.com/grafana/download

  • 技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT

参考链接

https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/?utm_source=tw&utm_medium=social

时间线

2023年6月22日,Grafana 官方发布安全通告

2023年6月26日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484242&idx=1&sn=e7a3c79bd8e8ac6b1af7e73d940c6cda&chksm=c12afed3f65d77c5d93fb41e8f406f7959952c369d7db5508cb9a972ad4aaadef433a12cc44e#rd
如有侵权请联系:admin#unsafe.sh