CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Juni war ein turbulenter Monat für Cyberverteidiger, geprägt von einem Anstieg hochkarätiger Schwachstellen, die die Sicherheitslandschaft erschüttern. Nach der Ausnutzung von SimpleRMM-Schwachstellen durch die Ransomware-Gruppe DragonForce und der aktiven Nutzung der CVE-2025-33053 WebDAV Zero-Day durch die Stealth Falcon APT haben Forscher nun eine weitere kritische Bedrohung identifiziert.
Eine neu gepatchte Zero-Day-Schwachstelle in Grafana, der weit verbreiteten Open-Source-Analyseplattform, wirft ernsthafte Sicherheitsbedenken auf. Diese hochkritische Cross-Site-Scripting (XSS)-Schwachstelle (CVE-2025-4123) ermöglicht Angreifern, bösartige Plugins auszuführen und Benutzerkonten ohne erhöhte Privilegien zu übernehmen. Trotz der Verfügbarkeit eines Fixes laufen noch über 46.500 Instanzen in anfälligen Versionen, was sie für potenzielle Ausnutzung offen lässt.
Die kritische Schwachstelle in Grafana ist eine deutliche Erinnerung an eine zunehmende Anzahl von Schwachstellen, die Open-Source-Software betreffen. Laut der Open Source Security and Risk Analysis (OSSRA) Berichtvon 2025 enthielten 86% der analysierten Anwendungen verwundbare Open-Source-Komponenten, wobei 81% Schwachstellen mit hohem oder kritischem Risiko aufwiesen. Diese Zahlen unterstreichen die Notwendigkeit, stets wachsam gegenüber neuen Schwachstellen zu sein, sodass Sicherheitsexperten relevante Erkennungsinhalte und fortschrittliche Werkzeuge benötigen, um Bedrohungen rechtzeitig zu erkennen.
Melden Sie sich bei der SOC Prime Platform an , um Zugriff auf den globalen Feed aktiver Bedrohungen zu erhalten, der Echtzeit-Cyber-Bedrohungsinformationen und kuratierte Erkennungsalgorithmen bietet, um aufkommende Bedrohungen anzugehen. Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Formaten kompatibel und sind dem MITRE ATT&CK® Framework zugeordnet. Zusätzlich ist jede Regel mit CTI Links, Angriffschronologien, Audit-Konfigurationen, Triaege-Empfehlungen und mehr relevantem Kontext angereichert. Drücken Sie die Schaltfläche Explore Detections, um den gesamten Erkennungs-Stack für eine proaktive Verteidigung gegen kritische Schwachstellen zu sehen, die durch das „CVE“-Tag gefiltert werden.
Sicherheitsingenieure können auch Uncoder AInutzen — eine private, nicht agentische KI, die speziell für Bedrohungsinformations-Erkennungsengineering entwickelt wurde. Mit Uncoder können Verteidiger IOCs automatisch in umsetzbare Jagdanfragen umwandeln, Erkennungsregeln aus Rohbedrohungsberichten erstellen, ATT&CK-Tag-Vorhersagen ermöglichen, KI-gesteuerte Abfrageoptimierung nutzen und Erkennungsinhalte über mehrere Plattformen hinweg übersetzen.
CVE-2025-4123-Analyse
OX Securitys Erkenntnisse zeigen, dass 36% der öffentlich zugänglichen Grafana-Instanzen derzeit anfällig für eine clientseitige Open-Redirect-Schwachstelle sind, die zu bösartiger Plugin-Ausführung und Kontoübernahme führen könnte, wobei viele weitere Systeme wahrscheinlich innerhalb segmentierter Netzwerke oder hinter Firewalls betroffen sind. Auch interne Grafana-Bereitstellungen, die nicht direkt mit dem Internet verbunden sind, bleiben aufgrund der Möglichkeit blinder Angriffe, die dieselbe zugrunde liegende Schwachstelle ausnutzen, gefährdet.
Verfolgt als CVE-2025-4123betroffene Zero-Day-XSS-Schwachstelle mehrere Versionen der beliebten Open-Source-Überwachungs- und Visualisierungsplattform. Die Schwachstelle, auch „The Grafana Ghost“ genannt, wurde im Mai entdeckt und von Grafana Labs in den Sicherheitsupdates des Anbieters am 21. Mai gepatcht. Auch interne Grafana-Implementierungen, die nicht direkt mit dem Internet verbunden sind, bleiben aufgrund blinder Angriffe, die dieselbe zugrunde liegende Schwachstelle ausnutzen, gefährdet.
Obwohl die standardmäßige Content Security Policy (CSP) von Grafana einen gewissen Schutz bietet, reicht sie aufgrund der Einschränkungen bei der clientseitigen Durchsetzung nicht aus. Die Schwachstelle umfasst eine Kette von Exploits, die beginnt, wenn ein Opfer auf einen speziell gestalteten bösartigen Link klickt. Diese bewaffnete URL veranlasst Grafana, ein schädliches Plugin von einem Angreifer-Server zu laden. Einmal geladen, kann das Plugin beliebigen Code als Benutzer ausführen, beispielsweise den Benutzernamen und die Login-E-Mail von Grafana auf von Angreifern kontrollierte Werte ändern oder sie zu internen Diensten umleiten. Mit der geänderten E-Mail kann der Angreifer einen Passwort-Reset einleiten und die volle Kontrolle über das Konto des Opfers übernehmen.
OX Securitys Forscher verwendeten einen Live-PoC-Exploit , um die Kontoübernahme auf lokalen Grafana-Setups erfolgreich zu demonstrieren und zu beweisen, dass die Schwachstelle sowohl ausnutzbar als auch leicht zu waffen ist. Die Bedrohung erstreckt sich auch auf lokale Grafana-Instanzen. Wie im PoC-Code gezeigt, kann die Schwachstelle vollständig von der Client-Seite aus ausgelöst werden und die Browser-Normalisierung durch die native JavaScript-Routing von Grafana umgehen.
Das Kompromittieren eines Grafana-Admin-Kontos kann Angreifern die grüne Ampel geben, um auf interne Dashboards und Betriebsdaten zuzugreifen, einschließlich Protokollen und Geschäftseinblicken, um Benutzer auszusperren, Konten zu löschen oder Rollen zu entführen. Darüber hinaus könnten erfolgreiche CVE-2025-4123-Exploiting-Versuche auch potenziell zu einem Monitoring-Ausfall führen, der einen Verlust der Sichtbarkeit in wichtige Systeme zur Folge hat.
Obwohl ein erfolgreicher Exploit von spezifischen Bedingungen abhängt, wie Benutzerinteraktion, einer aktiven Sitzung und der aktivierten Plugin-Funktion (was standardmäßig der Fall ist), erweitern das Fehlen authentifizierter Anforderungen und die hohe Anzahl exponierter Instanzen die Bedrohungsfläche erheblich.
Als mögliche CVE-2025-4123-Minderungsmaßnahmen wird Grafana-Administratoren dringend empfohlen, auf eine der gepatchten Versionen zu aktualisieren, einschließlich 10.4.18+security-01, 11.2.9+security-01 oder später, oder 12.0.0+security-01.
Mit über 46.000 exponierten Grafana-Instanzen, die über Shodan identifiziert wurden, stellt CVE-2025-4123 eine signifikante Bedrohung für Organisationen dar, die betroffene Versionen betreiben, was schnelle und proaktive Verteidigungsstrategien erfordert, um das Risiko von Einbrüchen zu reduzieren. SOC Prime Platform kuratierte eine vollständige Produktsuite, die von KI, Automatisierungskapazitäten und Echtzeit-CTI unterstützt wird und auf Zero-Trust- Prinzipien aufgebaut ist, um Organisationen weltweit zu befähigen, schneller als Angreifer zu agieren.
