-
09/04/2020
-
85
-
552 bài viết
Grafana vá khẩn cấp lỗ hổng zero-day sau khi mã khai thác bị tiết lộ
Grafana Labs vừa phải phát hành bản cập nhật an ninh khẩn cấp để vá một lỗ hổng zero-day nghiêm trọng sau khi PoC khai thác được phát tán trên mạng. Lỗ hổng ảnh hưởng các phiên bản Grafana từ 8.0.0-beta1 đến 8.3.0 cho phép kẻ tấn công truy cập từ xa vào các tệp local.
Grafana là một nền tảng open-source chuyên phục vụ mục đích theo dõi, phân tích, đánh giá các số liệu và hỗ trợ hiển thị dưới dạng biểu đồ khác nhau để quản trị viên dễ theo dõi.
Lỗ hổng có mã định danh là CVE-2021-43798 (điểm CVSS: 7,5), ảnh hưởng đến Grafana dashboard - sản phẩm chính của hãng. Sản phẩm này được nhiều công ty trên toàn cầu sử dụng để theo dõi và tổng hợp log cũng như các tham số khác từ các mạng cục bộ hoặc từ xa của họ.
Grafana Labs đã đăng tải một bài đăng trên blog giải thích rằng lỗ hổng xảy ra với URL của các plugin đã cài đặt, dễ bị tấn công qua truyền tải đường dẫn.
Vì tất cả các bản cài đặt Grafana đều có một bộ plugin được cài đặt theo mặc định, nên đường dẫn URL tồn tại lỗ hổng có mặt trên mọi phiên bản của ứng dụng.
Grafana Labs đã nhận được một báo cáo về lỗ hổng an ninh vào ngày 3 tháng 12 và đưa ra bản sửa lỗi ngay trong ngày.
Nhà phát triển đã lên kế hoạch phát hành cho khách hàng cá nhân vào ngày 8/12 và một phiên bản công khai vào ngày 14 tháng 12.
Ngay khi lỗ hổng được báo cáo, PoC khai thác đã bị công khai tràn lan trên mạng xã hội Twitter và GitHub. Vì vậy, Grafana Labs đã buộc phải phát hành bản sửa lỗi sớm hơn dự kiến. Các phiên bản cập nhật 8.3.1, 8.2.7, 8.1.8 và 8.0.7 đã được Grafana phát hành hôm nay. Trong ghi chú của bản vá, hãng cho biết các phiên bản Grafana Cloud của mình không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên các phiên bản này cũng được hưởng lợi từ các biện pháp an ninh bổ sung.
Theo dữ liệu thống kê, có 234.937 dịch vụ của Granafa được mở ra bên ngoài internet. Tại Việt Nam có 488 dịch vụ hiện đang được public.
WhiteHat khuyến cáo người dùng nên nhanh chóng cập nhật phiên bản mới nhất để không bị ảnh hưởng bởi lỗ hổng. Nếu không thể kịp thời cập nhật bản vá, người dùng có thể áp dụng các biện pháp khắc phục tạm thời như sau:
Grafana là một nền tảng open-source chuyên phục vụ mục đích theo dõi, phân tích, đánh giá các số liệu và hỗ trợ hiển thị dưới dạng biểu đồ khác nhau để quản trị viên dễ theo dõi.
Lỗ hổng có mã định danh là CVE-2021-43798 (điểm CVSS: 7,5), ảnh hưởng đến Grafana dashboard - sản phẩm chính của hãng. Sản phẩm này được nhiều công ty trên toàn cầu sử dụng để theo dõi và tổng hợp log cũng như các tham số khác từ các mạng cục bộ hoặc từ xa của họ.
Grafana Labs đã đăng tải một bài đăng trên blog giải thích rằng lỗ hổng xảy ra với URL của các plugin đã cài đặt, dễ bị tấn công qua truyền tải đường dẫn.
Vì tất cả các bản cài đặt Grafana đều có một bộ plugin được cài đặt theo mặc định, nên đường dẫn URL tồn tại lỗ hổng có mặt trên mọi phiên bản của ứng dụng.
Grafana Labs đã nhận được một báo cáo về lỗ hổng an ninh vào ngày 3 tháng 12 và đưa ra bản sửa lỗi ngay trong ngày.
Nhà phát triển đã lên kế hoạch phát hành cho khách hàng cá nhân vào ngày 8/12 và một phiên bản công khai vào ngày 14 tháng 12.
Ngay khi lỗ hổng được báo cáo, PoC khai thác đã bị công khai tràn lan trên mạng xã hội Twitter và GitHub. Vì vậy, Grafana Labs đã buộc phải phát hành bản sửa lỗi sớm hơn dự kiến. Các phiên bản cập nhật 8.3.1, 8.2.7, 8.1.8 và 8.0.7 đã được Grafana phát hành hôm nay. Trong ghi chú của bản vá, hãng cho biết các phiên bản Grafana Cloud của mình không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên các phiên bản này cũng được hưởng lợi từ các biện pháp an ninh bổ sung.
Theo dữ liệu thống kê, có 234.937 dịch vụ của Granafa được mở ra bên ngoài internet. Tại Việt Nam có 488 dịch vụ hiện đang được public.
WhiteHat khuyến cáo người dùng nên nhanh chóng cập nhật phiên bản mới nhất để không bị ảnh hưởng bởi lỗ hổng. Nếu không thể kịp thời cập nhật bản vá, người dùng có thể áp dụng các biện pháp khắc phục tạm thời như sau:
- Đặt chính sách truy cập và đưa quyền truy cập vào Whitelist thông qua các thiết bị bảo mật như tường lửa.
- Không public dịch vụ ra ngoài internet trong trường hợp không cần thiết.
Nguồn: bleepingcomputer và therecord