インターネットに面した46,000以上のGrafanaインスタンスにパッチが適用されておらず、悪意のあるプラグインの実行やアカウントの乗っ取りを可能にするクライアントサイドのオープンリダイレクトの脆弱性にさらされています。
この欠陥はCVE-2025-4123として追跡されており、インフラストラクチャとアプリケーションのメトリクスを監視および可視化するために使用されるオープンソースプラットフォームの複数のバージョンに影響を与えます。
この脆弱性はバグバウンティハンターのAlvaro Baladaによって発見され、Grafana Labsが5月21日にリリースしたセキュリティアップデートで対処された。
しかし、この記事を書いている時点で、アプリケーション・セキュリティ企業OX Securityの研究者によると、公衆インターネット経由でアクセス可能なすべてのGrafanaインスタンスの3分の1以上にパッチが適用されておらず、彼らはこのバグを「The Grafana Ghost」と呼んでいる。
アナリストは、彼らの仕事はバラダの発見を武器化する能力を実証することに重点を置いていると語った。
攻撃に脆弱なバージョンを特定した後、彼らはエコシステム全体におけるプラットフォームの分布とデータを関連付けることで暴露を評価した。
その結果、128,864のインスタンスがオンラインで公開されており、46,506のインスタンスが脆弱性を悪用される可能性のあるバージョンを実行していることが判明した。これは約36%の割合に相当する。
ソースは こちら:
OX SecurityがCVE-2025-4123を詳細に分析した結果、クライアント側のパストラバーサルとオープンリダイレクトの仕組みを組み合わせた一連の悪用ステップを通じて、攻撃者は被害者をおびき寄せ、脅威行為者が管理するサイトから悪意のあるGrafanaプラグインのロードにつながるURLをクリックさせることができることが判明しました。
悪意のあるリンクは、ユーザーのブラウザで任意のJavaScriptを実行するために使用される可能性があると研究者は述べている。
OX Security
この悪用は昇格した特権を必要とせず、匿名アクセスが有効になっていても機能する。
この欠陥により、攻撃者はユーザーセッションを乗っ取り、アカウント認証情報を変更し、Grafana Image Rendererプラグインがインストールされている場合は、サーバーサイドリクエストフォージェリ(SSRF)を実行して内部リソースを読み取ることができる。
Grafanaのデフォルトのコンテンツセキュリティポリシー(CSP)はある程度の保護を提供しますが、クライアント側のエンフォースメントに限界があるため、悪用を防ぐことはできません。
OX Securityのエクスプロイトは、CVE-2025-4123がクライアントサイドで悪用される可能性があり、GrafanaにネイティブなJavaScriptルーティングロジックによって最新のブラウザの正規化メカニズムを回避するために活用される可能性があることを示しています。
これにより、攻撃者はURLハンドリングの不整合を悪用して悪意のあるプラグインを提供し、そのプラグインがユーザーの電子メールアドレスを変更することで、パスワードリセットによるアカウントの乗っ取りが些細なものになります。
CVE-2025-4123には、ユーザーとの対話、被害者がリンクをクリックしたときにアクティブなユーザーセッション、プラグイン機能が有効になっていること(デフォルトで有効になっている)など、悪用の要件がいくつかありますが、公開されているインスタンスの数が多く、認証の必要性がないため、重要な攻撃対象領域となります。
悪用のリスクを軽減するため、Grafana管理者はバージョン10.4.18+security-01、11.2.9+security-01、11.3.6+security-01、11.4.4+security-01、11.5.4+security-01、11.6.1+security-01、12.0.0+security-01にアップグレードすることを推奨する。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments