Rilevamento della Vulnerabilità Zero-Day di Grafana (CVE-2021-43798)
Indice:
Preparati per la nuova vulnerabilità zero-day sfruttata in natura. Una falla recentemente rivelata colpisce Grafana, un’applicazione open source multi-piattaforma per l’analisi e la visualizzazione interattiva utilizzata dalle organizzazioni a livello globale per tracciare e comprendere le metriche dei loro dati. Dopo che i dettagli della vulnerabilità sono stati occasionalmente trapelati online, la moltitudine di exploit proof-of-concept si è diffusa su Twitter e GitHub, costringendo Grafana a rilasciare una patch d’emergenza il 7 dicembre 2021.
Descrizione CVE-2021-43798
La vulnerabilità, classificata come ad alta gravità, è un problema di attraversamento del percorso che impatta il dashboard di Grafana. Se sfruttata con successo, la falla consente a un aggressore di navigare al di fuori della cartella dell’applicazione di Grafana e leggere file situati in posizioni riservate. Ad esempio, gli avversari possono uscire dalla cartella dell’app sfruttando gli URL dei plugin di Grafana per raggiungere i dati sensibili memorizzati sul server sottostante, inclusi password e impostazioni di configurazione.
Tutti i server Grafana auto-ospitati che eseguono dalla versione v8.0.0-beta1 fino alla v8.3.0 sono stati trovati vulnerabili. Si presume che i dashboard Grafana ospitati nel cloud siano sicuri grazie ad ulteriori protezioni di sicurezza.
La vulnerabilità è stata segnalata privatamente a Grafana Labs il 3 dicembre 2021, e il fornitore ha rapidamente sviluppato una patch. Il rilascio interno era pianificato per il 7 dicembre 2021, con quello pubblico previsto per il 14 dicembre 2021. Tuttavia, i dettagli dello zero-day di Grafana sono trapelati online, scatenando la valanga di exploit PoC. In vista dell’aumento del rischio di attacchi, il fornitore ha rilasciato d’urgenza le versioni Grafana 8.3.1, 8.2.7, 8.1.8 e 8.0.7 patchate contro CVE-2021-43798.
Attualmente, i ricercatori di sicurezza riportano che tra 3.000 e 5.000 server Grafana sono esposti ad attacchi. La maggior parte di essi vengono utilizzati per monitorare grandi reti aziendali.
Rilevamento e mitigazione CVE-2021-43798
Grafana Labs ha emesso un avviso che fornisce i dettagli della vulnerabilità zero-day e raccomandazioni su come mitigare possibili rischi se gli utenti non possono aggiornare il prima possibile.
Per aiutare le organizzazioni a proteggere meglio la loro infrastruttura, il Team SOC Prime ha recentemente sviluppato la regola dedicata basata su Sigma che consente ai professionisti della sicurezza di scoprire tentativi di sfruttamento LFI di Grafana. I team di sicurezza possono scaricare la regola dalla piattaforma Detection as Code di SOC Prime:
Vulnerabilità di Lettura File Arbitraria Grafana Unauth [CVE-2021-43798] (tramite web)
Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix, e Open Distro.
La regola è allineata con l’ultimo quadro MITRE ATT&CK® v.10 che affronta la tattica di Accesso Iniziale con la tecnica principale di Exploit Public-Facing Application (T1190).
Unisciti alla piattaforma Detection as Code di SOC Prime gratuitamente per cercare le ultime minacce nel tuo ambiente SIEM o XDR, migliorare la copertura delle minacce raggiungendo i contenuti più rilevanti allineati con la matrice MITRE ATT&CK e, in generale, potenziare le capacità di difesa informatica dell’organizzazione. Sei un autore di contenuti? Accedi al potere della più grande comunità di difesa informatica al mondo unendoti al programma SOC Prime Threat Bounty, dove i ricercatori possono monetizzare i propri contenuti di rilevamento.
