Erkennung der Grafana Zero-Day-Schwachstelle (CVE-2021-43798)
Inhaltsverzeichnis:
Machen Sie sich bereit für die neue Zero-Day-Sicherheitslücke, die in freier Wildbahn ausgenutzt wird. Eine kürzlich offengelegte Schwachstelle betrifft Grafana, eine plattformübergreifende Open-Source-Analyse- und interaktive Visualisierungsanwendung, die weltweit von Organisationen genutzt wird, um die Metriken ihrer Daten zu verfolgen und zu verstehen. Nachdem die Details der Schwachstelle gelegentlich online durchgesickert waren, verbreiteten sich zahlreiche Proof-of-Concept-Exploits über Twitter und GitHub, was Grafana zwang, am 7. Dezember 2021 einen Notfall-Patch zu veröffentlichen.
CVE-2021-43798 Beschreibung
Die Schwachstelle, die als hochgefährlich eingestuft wird, ist ein Path-Traversal-Problem, das das Grafana-Dashboard betrifft. Wird diese erfolgreich ausgenutzt, ermöglicht der Fehler einem Angreifer, sich außerhalb des Grafana-Anwendungsordners zu bewegen und Dateien in eingeschränkten Bereichen zu lesen. Beispielsweise können Angreifer aus dem Anwendungsordner durch Ausnutzung von Grafana-Plugin-URLs entkommen, um auf die auf dem zugrunde liegenden Server gespeicherten sensiblen Daten zuzugreifen, einschließlich Passwörtern und Konfigurationseinstellungen.
Alle selbstgehosteten Grafana-Server mit den Versionen v8.0.0-beta1 bis v8.3.0 wurden als anfällig befunden. Die in der Cloud gehosteten Grafana-Dashboards gelten aufgrund zusätzlicher Sicherheitsvorkehrungen als sicher.
Die Schwachstelle wurde am 3. Dezember 2021 privat an Grafana Labs gemeldet, und der Anbieter stellte unverzüglich einen Patch zur Verfügung. Die interne Veröffentlichung war für den 7. Dezember 2021 geplant, während die öffentliche für den 14. Dezember 2021 angesetzt war. Dennoch gelangten die Details der Grafana Zero-Day-Schwachstelle online, was eine Flut von PoC-Exploits auslöste. Angesichts des erhöhten Angriffsrisikos veröffentlichte der Anbieter dringend die Versionen Grafana 8.3.1, 8.2.7, 8.1.8 und 8.0.7, die gegen CVE-2021-43798 gepatcht sind.
Derzeit berichten Sicherheitsexperten von 3.000 bis 5.000 Grafana-Servern, die Angriffen ausgesetzt sind. Die Mehrheit von ihnen wird verwendet, um große Corporate-Netzwerke zu überwachen.
CVE-2021-43798 Erkennung und Abhilfe
Grafana Labs hat einen Advisory herausgegeben, der die Details der Zero-Day-Schwachstelle enthält und Empfehlungen gibt, wie mögliche Risiken gemindert werden können, wenn Benutzer nicht sofort upgraden können.
Um Organisationen dabei zu helfen, ihre Infrastruktur besser zu schützen, hat das SOC Prime Team kürzlich die dedizierte Sigma-basierte Regel entwickelt, die Sicherheitsexperten ermöglicht, Versuche der Grafana LFI-Ausbeutung zu entdecken. Sicherheitsteams können die Regel von der Detection as Code-Plattform von SOC Prime herunterladen:
Unauth Grafana Beliebige Dateiauslese-Schwachstelle [CVE-2021-43798] (über das Web)
Diese Erkennung verfügt über Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix und Open Distro.
Die Regel ist mit dem neuesten MITRE ATT&CK® Rahmen v.10 ausgerichtet und adressiert die Initial Access Taktik mit Exploit Public-Facing Application als Haupttechnik (T1190).
Treten Sie der Detection as Code-Plattform von SOC Prime kostenlos bei, um nach den neuesten Bedrohungen in Ihrer SIEM- oder XDR-Umgebung zu suchen, verbessern Sie Ihre Bedrohungserkennung, indem Sie auf die relevantesten Inhalte zugreifen, die mit der MITRE ATT&CK-Matrix abgestimmt sind, und insgesamt die Cyberabwehrfähigkeiten Ihrer Organisation stärken. Sind Sie ein Inhaltsautor? Nutzen Sie die Kraft der weltweit größten Cyberabwehr-Community, indem Sie dem SOC Prime Threat Bounty Programm beitreten, wo Forscher ihre eigenen Detection-Inhalte monetarisieren können.
