Detecting Grafana Zero-Day Vulnerability (CVE-2021-43798)

ゼロデイ脆弱性が野外で悪用されていることに備えましょう。最近公開されたフローは、グラファナ、マルチプラットフォームのオープンソース解析およびインタラクティブな可視化アプリに影響を及ぼし、データのメトリクスを追跡・理解するために世界中の組織で使用されています。この脆弱性の詳細が時折オンラインで漏洩した後、概念実証の多数のエクスプロイトがTwitterやGitHub上で広がり、グラファナは2021年12月7日に緊急パッチをリリースせざるを得ませんでした。

CVE-2021-43798 説明

高い深刻度として評価されているこの脆弱性は、Grafanaダッシュボードに影響を及ぼすパストラバーサルの問題です。成功裡に悪用された場合、攻撃者はGrafanaアプリケーションフォルダーの外にナビゲートし、制限された場所に存在するファイルを読み取ることが可能になります。例えば、対戦相手はGrafanaプラグインURLを悪用することにより、パスワードや設定情報を含む基盤となるサーバーに保存された機密データに到達するためにアプリフォルダーを抜け出すことができます。

v8.0.0-beta1からv8.3.0までのすべてのグラファナセルフホストサーバーが脆弱であることが判明しました。クラウドホストされているグラファナダッシュボードは追加のセキュリティ保護があるので安全であるとされています。

この脆弱性は2021年12月3日にGrafana Labsに非公開で報告され、ベンダーは迅速にパッチを用意しました。社内リリースは2021年12月7日、公用リリースは2021年12月14日に予定されていました。しかし、Grafanaのゼロデイの詳細がオンラインに漏洩し、PoCエクスプロイトの雪崩を引き起こしました。攻撃のリスクが増大したことを考慮に入れ、ベンダーは急遽CVE-2021-43798に対するパッチが施されたGrafana 8.3.1、8.2.7、8.1.8、8.0.7をリリースしました。

現在、セキュリティ研究者は約3,000から5,000のGrafanaサーバーが攻撃にさらされていると報告しています。その大部分は大企業のネットワークを監視するために使用されています。

CVE-2021-43798 検出と緩和

Grafana Labsは 勧告 を発行し、ゼロデイ脆弱性の詳細と、ユーザーがすぐにアップグレードできない場合の潜在的リスクを軽減する方法に関する推奨事項を提供しています。

組織がより良いインフラ保護を可能にするため、SOC Primeチームは最近、セキュリティ専門家がGrafana LFIの悪用試みを発見するのに役立つ専用のシグマベースのルールを開発しました。セキュリティチームはSOC PrimeのDetection as Codeプラットフォームからそのルールをダウンロードできます。

非認証Grafana任意ファイル読み取り脆弱性 [CVE-2021-43798] (via web)

この検出は以下のSIEM、EDR、およびXDRプラットフォーム向けに翻訳があります：Azure Sentinel、Splunk、Chronicle Security、ELK Stack、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Securonix、およびOpen Distro。

このルールは初期アクセス戦術を主な技法（T1190: 公開フェイシングアプリケーションの悪用）とした最新のMITRE ATT&CK®フレームワークv.10に一致しています。

SIEMやXDR環境で最新の脅威を検索し、MITRE ATT&CKマトリックスに整合した最も関連性の高いコンテンツを活用して脅威のカバレッジを改善し、全体的に組織のサイバー防御能力を強化するために、SOC PrimeのDetection as Codeプラットフォームに無料で参加しましょう。コンテンツ著者ですか？ 世界最大のサイバー防御コミュニティの力を活用して、SOC Prime Threat Bountyプログラムに参加することで、独自の検出コンテンツを収益化できます。

プラットフォームに移動 Threat Bountyに参加