Grafana は、アプリケーションの複数のバージョンに対するセキュリティ修正をリリースし、攻撃者が認証をバイパスし、認証に Azure Active Directory を使用する Grafana アカウントを乗っ取ることを可能にする脆弱性に対処しました。
Grafana は、広く使用されているオープンソース分析およびインタラクティブな視覚化アプリであり、幅広い監視プラットフォームおよびアプリケーションとの広範な統合オプションを提供します。
追加機能を備えたアプリのプレミアム バージョンである Grafana Enterprise は、Wikimedia、Bloomberg、JP Morgan Chase、eBay、PayPal、Sony などの有名な組織によって使用されています。
発見されたアカウント乗っ取りの脆弱性はCVE-2023-3128として追跡され、CVSS v3.1 スコアは 9.4 で、深刻度はクリティカルと評価されました。
このバグは、関連する「プロファイル電子メール」設定で構成された電子メール アドレスに基づいて、Grafana が Azure AD アカウントを認証することが原因で発生します。ただし、この設定はすべての Azure AD テナントで一意ではないため、攻撃者が正規の Grafana ユーザーと同じ電子メール アドレスで Azure AD アカウントを作成し、それを使用してアカウントを乗っ取ることができます。
「これにより、Azure AD OAuth がマルチテナント Azure AD OAuth アプリケーションで構成されている場合、Grafana アカウントの引き継ぎと認証バイパスが可能になる可能性があります」とGrafana のアドバイザリーには記載されています。
「悪用されれば、攻撃者は顧客のプライベートデータや機密情報へのアクセスを含め、ユーザーのアカウントを完全に制御できるようになる。」
Grafana クラウドにはすでにパッチが適用されています
この問題は、マルチテナント Azure アプリケーションでのユーザー認証に Azure AD OAuth を使用し、認証できるユーザー グループに制限がないように構成されているすべての Grafana デプロイに影響します (「allowed_groups」構成経由)。
この脆弱性は 6.7.0 以降のすべての Grafana バージョンに存在しますが、ソフトウェア ベンダーはブランチ 8.5、9.2、9.3、9.5、および 10.0 に対する修正をリリースしました。
セキュリティ問題に対処するためにアップグレードする推奨バージョンは次のとおりです。
- Grafana 10.0.1以降
- Grafana 9.5.5以降
- Grafana 9.4.13 以降
- Grafana 9.3.16 以降
- Grafana 9.2.20以降
- Grafana 8.5.27 以降
Grafana Cloud は、ベンダーが禁輸措置の下でこの問題について早期に通知を受けた Amazon や Microsoft などのクラウド プロバイダーと調整しており、すでに最新バージョンにアップグレードされています。
Grafana インスタンスを安全なバージョンにアップグレードできない人のために、セキュリティ情報では次の 2 つの緩和策が提案されています。
- Azure AD にシングル テナント アプリケーションを登録します。これにより、外部テナント (組織外のユーザー) からのログイン試行が防止されます。
- Azure AD 設定に “allowed_groups” 構成を追加して、サインイン試行をホワイトリストに登録されたグループのメンバーに制限し、任意の電子メールを使用したすべての試行を自動的に拒否します。
Grafana のセキュリティ情報には、最新のパッチによって導入された変更によって特定のユースケース シナリオで発生する可能性がある問題に対処するためのガイダンスも含まれているため、「ユーザーの同期に失敗しました」または「ユーザーはすでに存在します」というエラーが発生した場合は、必ずこのアドバイザリを読んでください。
Comments