Detectando la Vulnerabilidad de Día Cero de Grafana (CVE-2021-43798)
Tabla de contenidos:
Prepárese para la nueva vulnerabilidad de día cero explotada en la naturaleza. Una falla divulgada recientemente afecta a Grafana, una aplicación de análisis y visualización interactiva de código abierto multiplataforma utilizada por organizaciones a nivel mundial para rastrear y comprender las métricas de sus datos. Después de que los detalles de la vulnerabilidad se filtraron ocasionalmente en línea, la multitud de exploits de prueba de concepto se extendió sobre Twitter y GitHub, obligando a Grafana a lanzar un parche de emergencia el 7 de diciembre de 2021.
Descripción de CVE-2021-43798
La vulnerabilidad, clasificada como de alta severidad, es un problema de recorrido de directorios que impacta el panel de control de Grafana. Si se explota con éxito, la falla permite a un atacante navegar fuera de la carpeta de la aplicación Grafana y leer archivos ubicados en ubicaciones restringidas. Por ejemplo, los adversarios pueden escapar de la carpeta de la aplicación abusando de las URLs de los plugins de Grafana para acceder a los datos sensibles almacenados en el servidor subyacente, incluidas contraseñas y configuraciones.
Se encontró que todos los servidores autohospedados de Grafana que ejecutan desde la versión v8.0.0-beta1 hasta la v8.3.0 eran vulnerables. Se afirma que los paneles de control de Grafana alojados en la nube están seguros debido a protecciones de seguridad adicionales.
La vulnerabilidad fue reportada en privado a Grafana Labs el 3 de diciembre de 2021, y el proveedor desarrolló el parche rápidamente. La versión interna estaba planeada para el 7 de diciembre de 2021, y la pública programada para el 14 de diciembre de 2021. Sin embargo, los detalles del día cero de Grafana se filtraron en línea, desencadenando una avalancha de exploits de PoC. En vista del aumento del riesgo de ataques, el proveedor lanzó urgentemente las versiones Grafana 8.3.1, 8.2.7, 8.1.8 y 8.0.7 actualizadas contra CVE-2021-43798.
Actualmente, los investigadores de seguridad reportan entre 3,000 y 5,000 servidores Grafana expuestos a ataques. La mayoría de ellos se utilizan para monitorear grandes redes corporativas.
Detección y Mitigación de CVE-2021-43798
Grafana Labs ha emitido un aviso proporcionando los detalles de la vulnerabilidad de día cero y recomendaciones sobre cómo mitigar los posibles riesgos si los usuarios no pueden actualizar lo antes posible.
Para ayudar a las organizaciones a proteger mejor su infraestructura, el equipo de SOC Prime ha desarrollado recientemente una regla dedicada basada en Sigma que permite a los profesionales de seguridad descubrir intentos de explotación de LFI en Grafana. Los equipos de seguridad pueden descargar la regla desde la plataforma Detection as Code de SOC Prime:
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix y Open Distro.
La regla está alineada con el último marco ATT&CK® de MITRE v.10 abordando la táctica de Acceso Inicial con Explotación de Aplicación De Carácter Público como técnica principal (T1190).
Únase a la plataforma Detection as Code de SOC Prime gratuitamente para buscar las últimas amenazas en su entorno SIEM o XDR, mejore su cobertura de amenazas alcanzando el contenido más relevante alineado con la matriz ATT&CK de MITRE, y en general, mejore las capacidades de defensa cibernética de su organización. ¿Es un autor de contenido? Aproveche el poder de la comunidad de defensa cibernética más grande del mundo uniéndose al programa de recompensas de amenazas de SOC Prime, donde los investigadores pueden monetizar su propio contenido de detección.
