Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Giugno è stato un mese turbolento per i difensori del cyberspazio, caratterizzato da un aumento di vulnerabilità di alto profilo che hanno scosso il panorama della sicurezza. A seguito dello sfruttamento delle falle di SimpleRMM dal gruppo ransomware DragonForce e dell’uso attivo della CVE-2025-33053 WebDAV zero-day dall’APT Stealth Falcon, i ricercatori hanno ora identificato un’altra minaccia critica.
Una nuova vulnerabilità zero-day corretta in Grafana, la piattaforma di analisi open-source ampiamente utilizzata, sta sollevando serie preoccupazioni di sicurezza. Questo difetto XSS ad alta gravità (CVE-2025-4123) consente agli attaccanti di eseguire plugin malevoli e prendere il controllo degli account utente senza necessità di privilegi elevati. Nonostante la disponibilità di una soluzione, oltre 46.500 istanze funzionano ancora con versioni vulnerabili, lasciandole aperte a potenziali sfruttamenti.
La falla critica in Grafana è un chiaro promemoria dell’aumento delle vulnerabilità che colpiscono il software open-source. Secondo l’analisi OSSRA (Open Source Security and Risk Analysis) 2025 rapporto, l’86% delle applicazioni analizzate conteneva componenti open-source vulnerabili, con l’81% che presentava vulnerabilità ad alto o critico rischio. Questi numeri sottolineano la necessità di essere sempre vigili riguardo alle nuove vulnerabilità, quindi i professionisti della sicurezza necessitano di contenuti di rilevamento pertinenti e strumenti avanzati per rilevare le minacce in tempo.
Iscriviti alla SOC Prime Platform per accedere al feed globale delle minacce attive, che offre intelligence sulle minacce informatiche in tempo reale e algoritmi di rilevamento curati per affrontare le minacce emergenti. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altro contesto rilevante. Premi il bottone Esplora Rilevamenti per vedere l’intero stack di rilevamento per la difesa proattiva contro le vulnerabilità critiche filtrate dal tag “CVE”.
Gli ingegneri della sicurezza possono anche avvalersi di Uncoder AI—un’intelligenza artificiale privata, priva di agenti, concepita per l’ingegneria del rilevamento informata sulle minacce. Con Uncoder, i difensori possono convertire automaticamente gli IOC in query di caccia attuabili, creare regole di rilevamento da rapporti sulle minacce grezze, abilitare la predizione dei tag ATT&CK, avvalersi dell’ottimizzazione delle query basata sull’IA e tradurre il contenuto di rilevamento su più piattaforme.
Analisi di CVE-2025-4123
Le scoperte di OX Security illustrano che il 36% delle istanze di Grafana esposte al pubblico sono attualmente vulnerabili a un difetto di redirezione aperta lato client che potrebbe portare all’esecuzione di plugin malevoli e al takeover degli account, con molti più sistemi probabilmente colpiti all’interno di reti segmentate o dietro firewall. Anche le distribuzioni interne di Grafana, non direttamente connesse a Internet, rimangono a rischio a causa della possibilità di attacchi ciechi che sfruttano la medesima vulnerabilità sottostante.
Tracciata come CVE-2025-4123, questa vulnerabilità zero-day XSS colpisce diverse versioni della popolare piattaforma di monitoraggio e visualizzazione open-source. Il difetto, soprannominato anche “The Grafana Ghost”, è stato scoperto a maggio e corretto da Grafana Labs negli aggiornamenti di sicurezza rilasciati il 21 maggio. Anche le distribuzioni interne di Grafana non direttamente connesse a Internet rimangono a rischio a causa della possibilità di attacchi ciechi sfruttando la stessa vulnerabilità sottostante.
Sebbene la politica di sicurezza dei contenuti (CSP) predefinita di Grafana offra qualche difesa, resta insufficiente a causa delle limitazioni dell’applicazione lato client. La vulnerabilità coinvolge una catena di exploit che inizia quando una vittima clicca su un link malevolo appositamente creato. Questo URL armato spinge Grafana a caricare un plugin canaglia da un server avversario. Una volta caricato, il plugin può eseguire codice arbitrario come l’utente, come cambiare il nome utente Grafana della vittima e l’email di accesso in valori controllati dall’attaccante o reindirizzarli a servizi interni. Con l’email cambiata, l’attaccante può avviare un reset della password e prendere il controllo completo dell’account della vittima.
I ricercatori di OX Security hanno usato un exploit PoC dal vivo per dimostrare con successo il takeover dell’account su configurazioni locali di Grafana, provando che la falla è sia sfruttabile sia facilmente utilizzabile come arma. La minaccia si estende alle istanze locali di Grafana. Come mostrato nel codice PoC, la vulnerabilità può essere attivata interamente dal client, bypassando la normalizzazione del browser attraverso l’instradamento JavaScript nativo di Grafana.
Compromettere un account amministratore di Grafana può dare agli attaccanti il via libera per ottenere l’accesso a dashboard interni e dati operativi, inclusi log e approfondimenti aziendali, per bloccare gli utenti, eliminare account o dirottare ruoli. Inoltre, i tentativi riusciti di sfruttamento del CVE-2025-4123 potrebbero anche potenzialmente portare al fallimento del monitoraggio, risultando in una perdita di visibilità nei sistemi chiave.
Anche se lo sfruttamento riuscito dipende da condizioni specifiche, come l’interazione dell’utente, una sessione attiva e la funzione plugin abilitata (che lo è di default), la mancanza di requisiti di autenticazione e l’alto numero di istanze esposte espande significativamente la superficie della minaccia.
Come misure di mitigazione potenziali per CVE-2025-4123, gli amministratori di Grafana sono vivamente consigliati di aggiornare a una delle versioni corrette, tra cui 10.4.18+security-01, 11.2.9+security-01 o successivo, o 12.0.0+security-01.
Con oltre 46.000 istanze di Grafana esposte identificate tramite Shodan, CVE-2025-4123 rappresenta una minaccia significativa per le organizzazioni che eseguono versioni colpite, richiedendo strategie di difesa rapide e proattive per ridurre il rischio di intrusioni. SOC Prime Platform curà un’intera suite di prodotti supportata da AI, capacità di automazione, CTI in tempo reale e costruita su principi di zero-trust per consentire alle organizzazioni di tutto il mondo di agire più rapidamente degli attaccanti.
