Détection de la vulnérabilité zero-day Grafana (CVE-2021-43798)
Table des matières :
Préparez-vous pour la nouvelle vulnérabilité zero-day exploitée dans la nature. Une faille récemment divulguée affecte Grafana, une application de visualisation interactive et d’analyse open source multiplateforme utilisée par les organisations du monde entier pour suivre et comprendre les métriques de leurs données. Après que les détails de la vulnérabilité ont été occasionnellement divulgués en ligne, une multitude de preuves de concepts d’exploitation se sont répandues sur Twitter et GitHub, contraignant Grafana à publier un correctif d’urgence le 7 décembre 2021.
Description CVE-2021-43798
La vulnérabilité, classée de haute sévérité, est un problème de traversée de répertoires impactant le tableau de bord de Grafana. Si elle est exploitée avec succès, la faille permet à un attaquant de naviguer hors du dossier de l’application Grafana et de lire des fichiers situés dans des emplacements restreints. Par exemple, des adversaires peuvent sortir du dossier de l’application en abusant des URL de plugins Grafana pour accéder aux données sensibles stockées sur le serveur sous-jacent, y compris les mots de passe et les paramètres de configuration.
Tous les serveurs Grafana auto-hébergés exécutant de la version v8.0.0-beta1 à la v8.3.0 ont été jugés vulnérables. Les tableaux de bord Grafana hébergés sur le cloud sont considérés comme sûrs grâce aux protections de sécurité supplémentaires.
La vulnérabilité a été signalée de manière privée à Grafana Labs le 3 décembre 2021, et le fournisseur a rapidement proposé le correctif. La sortie interne était prévue pour le 7 décembre 2021, avec une publication publique programmée pour le 14 décembre 2021. Cependant, les détails du zero-day de Grafana ont fuité en ligne, provoquant une avalanche de preuves de concepts d’exploitation. En raison du risque accru d’attaques, le fournisseur a urgemment publié les versions Grafana 8.3.1, 8.2.7, 8.1.8 et 8.0.7 corrigées contre CVE-2021-43798.
Actuellement, les chercheurs en sécurité rapportent que 3 000 à 5 000 serveurs Grafana sont exposés aux attaques. La majorité d’entre eux sont utilisés pour surveiller de grands réseaux d’entreprise.
Détection et atténuation CVE-2021-43798
Grafana Labs a émis un avis fournissant les détails de la vulnérabilité zero-day et des recommandations sur la façon de réduire les risques possibles si les utilisateurs ne peuvent pas effectuer la mise à jour dès que possible.
Pour aider les organisations à mieux protéger leur infrastructure, l’équipe SOC Prime a récemment développé une règle dédiée basée sur Sigma permettant aux professionnels de la sécurité de découvrir les tentatives d’exploitation LFI de Grafana. Les équipes de sécurité peuvent télécharger la règle depuis la plateforme Detection as Code de SOC Prime :
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix, et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’accès initial avec l’exploitation d’une application exposée au public comme technique principale (T1190).
Rejoignez gratuitement la plateforme Detection as Code de SOC Prime pour rechercher les menaces les plus récentes dans votre environnement SIEM ou XDR, améliorer votre couverture de menaces en accédant aux contenus les plus pertinents alignés avec la matrice MITRE ATT&CK, et, globalement, renforcer les capacités de cyberdéfense de l’organisation. Êtes-vous un auteur de contenu ? Profitez de la puissance de la plus grande communauté de cyberdéfense au monde en rejoignant le programme SOC Prime Threat Bounty, où les chercheurs peuvent monétiser leur propre contenu de détection.
