近日，网络上出现 Grafana 未授权任意文件读取的 0day 漏洞，漏洞细节暂未公开。攻击者可通过该漏洞在未经身份验证的情况下读取主机上的任意文件。

漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。

Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。

该漏洞危害等级：高危

CVE 编号

暂无

FOFA 查询

app="Grafana"

影响范围

经测试，目前最新版本（Grafana v8.2.6）仍存在漏洞。

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Grafana"）共有 234,937 个相关服务对外开放。美国使用数量最多，共有 67,057 个；中国第二，共有 30,812 个；德国第三，共有 25,397 个；巴西第四，共有 21,597 个；法国第五，共有 9,899 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 2,823 个；北京第二，共有 2,806 个；广东第三，共有 2,380 个；上海第四，共有 1,632 个；山东第五，共有 500 个。

漏洞复现

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Grafana 环境，可通过以下链接启动环境测试：

http://vulfocus.fofa.so/#/dashboard?image_id=2d3a40d6-feb0-4901-b782-9ed274c09aa3

也可通过 docker pull vulfocus/grafana-read_arbitrary_file:latest 拉取本地环境运行。

修复建议

目前没有详细的解决方案提供，请关注厂商主页更新：https://grafana.com/

临时修复建议：

1、通过防火墙等安全设备设置访问策略，设置白名单访问。

2、如非必要，禁止公网访问该系统。

参考

[1] https://github.com/grafana/grafana/releases/tag/v8.2.6

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。