WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
An ninh mạng Tháng 11/2022: Mùa đông của Grafana
Mùa đông dường như đến sớm hơn với những người dùng Grafana khi giải pháp giám sát và phân tích nguồn mở này tháng qua đã phải 2 lần tung bản vá có các cho lỗ hổng có mức độ nghiêm trọng cao.
Khi cái lạnh của mùa đông còn chưa kịp đến, Grafana đã phải tung phiên bản 9.2.4 và 8.5.15 giải quyết hai lỗ hổng. Đầu tiên, CVE-2022-39328 (điểm CVSS 8.1) là lỗi truy cập trái phép vào các điểm cuối tùy ý, cho phép kẻ tấn công truy vấn các điểm cuối được bảo vệ. Lỗ hổng này ảnh hưởng đến tất cả các cài đặt của phiên bản Grafana >= 9.2.x. Tiếp theo, CVE-2022-39307 (điểm CVSS 5.3) là lỗi liệt kê tên người dùng bằng cách lạm dụng tính năng quên mật khẩu trên trang đăng nhập.
Đến ngày 25 tháng 11, Grafana tiếp tục tung bản cập nhật để khắc phục lỗi zero-day có mức độ nghiêm trọng cao. Đây là lỗ hổng có thể cho phép hacker nâng cao đặc quyền từ Editor lên Admin. CVE-2022-31097 (điểm CVSS 8.7) có nguyên nhân từ việc xác thực đầu vào không đúng bằng tính năng Unified Alerting. Hacker có thể khai thác lỗi này để chèn các tập lệnh độc vào Web nhằm đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân.
Lỗ hổng này ảnh hưởng đến Grafana Alerting (trước đây được gọi là Unified Alerting khi được giới thiệu trong Grafana 8.0). Grafana Alerting được kích hoạt mặc định trong Grafana 9.0.
Theo một số báo cáo công khai, có hàng nghìn máy chủ Grafana bị lộ trên Internet. Bởi vậy, tránh nguy cơ bị tấn công, người dùng cũng như các đơn vị, tổ chức cần thực hiện cập nhật bản vá càng sớm càng tốt.
Khi cái lạnh của mùa đông còn chưa kịp đến, Grafana đã phải tung phiên bản 9.2.4 và 8.5.15 giải quyết hai lỗ hổng. Đầu tiên, CVE-2022-39328 (điểm CVSS 8.1) là lỗi truy cập trái phép vào các điểm cuối tùy ý, cho phép kẻ tấn công truy vấn các điểm cuối được bảo vệ. Lỗ hổng này ảnh hưởng đến tất cả các cài đặt của phiên bản Grafana >= 9.2.x. Tiếp theo, CVE-2022-39307 (điểm CVSS 5.3) là lỗi liệt kê tên người dùng bằng cách lạm dụng tính năng quên mật khẩu trên trang đăng nhập.
Đến ngày 25 tháng 11, Grafana tiếp tục tung bản cập nhật để khắc phục lỗi zero-day có mức độ nghiêm trọng cao. Đây là lỗ hổng có thể cho phép hacker nâng cao đặc quyền từ Editor lên Admin. CVE-2022-31097 (điểm CVSS 8.7) có nguyên nhân từ việc xác thực đầu vào không đúng bằng tính năng Unified Alerting. Hacker có thể khai thác lỗi này để chèn các tập lệnh độc vào Web nhằm đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân.
Lỗ hổng này ảnh hưởng đến Grafana Alerting (trước đây được gọi là Unified Alerting khi được giới thiệu trong Grafana 8.0). Grafana Alerting được kích hoạt mặc định trong Grafana 9.0.
Theo một số báo cáo công khai, có hàng nghìn máy chủ Grafana bị lộ trên Internet. Bởi vậy, tránh nguy cơ bị tấn công, người dùng cũng như các đơn vị, tổ chức cần thực hiện cập nhật bản vá càng sớm càng tốt.
WhiteHat.vn