CVE-2025-4123 취약점: “Grafana Ghost” 제로데이로 인한 악성 계정 탈취 가능성
6월은 보안 환경을 뒤흔드는 유명 취약점의 급증으로 사이버 방어자들에게 격동의 달이었습니다. SimpleRMM 결함 을 DragonForce 랜섬웨어 그룹이 악용한 후, CVE-2025-33053 WebDAV 제로데이 를 Stealth Falcon APT가 적극 활용하며, 연구자들은 이제 또 다른 중요한 위협을 확인했습니다.
광범위하게 사용되는 오픈 소스 분석 플랫폼인 Grafana의 새롭게 패치된 제로데이 취약점이 심각한 보안 우려를 불러일으키고 있습니다. 이 높은 심각도의 크로스 사이트 스크립팅(XSS) 결함(CVE-2025-4123)은 공격자가 악성 플러그인을 실행하고 사용자의 계정을 권한 상승 없이 탈취할 수 있게 합니다. 수정된 버전이 존재함에도 불구하고, 4만 6천 5백 개 이상의 인스턴스가 여전히 취약한 버전을 실행 중이며 잠재적 악용에 노출되어 있습니다.
Grafana의 중요한 결함은 오픈 소스 소프트웨어에 영향을 미치는 취약점의 증가를 뚜렷하게 상기시켜 줍니다. 2025년 오픈 소스 보안 및 리스크 분석(OSSRA) 보고서에 따르면 분석된 애플리케이션의 86%가 취약한 오픈 소스 구성 요소를 포함하고 있으며, 81%는 높은 위험도 또는 심각한 위험의 취약점을 보유하고 있습니다. 이러한 수치는 새로운 취약점에 항상 대비해야 할 필요성을 강조하며, 보안 전문가들은 적시에 위협을 탐지하기 위해 관련 탐지 콘텐츠와 고급 도구가 필요합니다.
SOC Prime 플랫폼에 등록해서 실시간 사이버 위협 정보를 제공하는 글로벌 활성 위협 피드에 접근하여, 새로운 위협에 대응할 수 있는 선별된 탐지 알고리즘을 이용하세요. 모든 규칙은 다양한 SIEM, EDR 및 Data Lake 포맷에 호환 가능하며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한, 각 규칙은 링크, 공격 타임라인, 감사 설정, 초기 조치 권장 사항 및 관련 문맥으로 풍부하게 구성되어 있습니다. 핵심 취약점에 대한 사전 방어를 위한 전체 탐지 스택을 보려면 ‘탐지 탐색’ 버튼을 누르세요. CTI links, attack timelines, audit configurations, triage recommendations, and more relevant context. Press the Explore Detections button to see the entire detection stack for proactive defense against critical vulnerabilities filtered by the “CVE” tag.
보안 엔지니어들은 또한 위협 기반 탐지 엔지니어링을 위해 특별히 제작된 비에이전트형 개인용 AI인 Uncoder AI를 활용할 수 있습니다. Uncoder와 함께라면, 방어자는 IOC를 자동적으로 실세계에서 적용 가능한 탐색 쿼리로 변환하고, 원시 위협 리포트에서 탐지 규칙을 작성하며, ATT&CK 태그 예측을 활성화하고, AI 기반 쿼리 최적화를 활용하며, 다양한 플랫폼 간 탐지 콘텐츠를 번역할 수 있습니다.
CVE-2025-4123 분석
OX Security의 발견사항 에 따르면, 36%의 퍼블릭-facing Grafana 인스턴스가 현재 클라이언트 측 오픈 리디렉트 결함에 취약하며, 이는 악성 플러그인 실행 및 계정 탈취로 이어질 수 있으며, 방화벽 뒤쪽에 있는 세분화된 네트워크 내의 더 많은 시스템에도 영향을 미칠 가능성이 큽니다. 인터넷에 직접 연결되지 않은 내부 Grafana 배포조차도 동일한 기본 취약점을 악용하는 블라인드 공격의 가능성 때문에 여전히 위험에 처해 있습니다.
CVE-2025-4123으로 추적되는 이 제로 데이 XSS 취약점은 널리 사용되는 오픈 소스 모니터링 및 시각화 플랫폼의 여러 버전에 영향을 미칩니다. ‘The Grafana Ghost’라고도 불리는 이 결함은 5월에 발견되어, 공급업체인 Grafana Labs가, this zero-day XSS vulnerability affects several versions of the popular open-source monitoring and visualization platform. The flaw, also dubbed “The Grafana Ghost,” was discovered in May and patched by Grafana Labs in the vendor’s 보안 업데이트 를 5월 21일에 출시하며 패치하였습니다. 인터넷에 직접 연결되지 않은 내부 Grafana 배포조차도 동일한 기본 취약점을 악용하는 블라인드 공격의 가능성 때문에 여전히 위험에 처해 있습니다.
Grafana의 기본 콘텐츠 보안 정책(CSP)은 일부 방어를 제공하지만, 클라이언트 측 시행의 한계로 인해 충분하지 않습니다. 이 취약점은 희생자가 특히 조작된 악성 링크를 클릭할 때 시작되는 일련의 공격을 포함합니다. 이러한 무기화된 URL은 Grafana가 적의 서버에서 악성 플러그인을 로드하도록 합니다. 한 번 로드되면, 플러그인은 사용자의 임의 코드, 예를 들어 희생자의 Grafana 사용자 이름과 로그인 이메일을 공격자가 제어하는 값으로 변경하거나 내부 서비스로 리디렉션하는 등의 작업을 수행할 수 있습니다. 이메일이 변경되면, 공격자는 비밀번호 재설정을 시작하고 희생자의 계정을 완전히 제어할 수 있습니다.
OX Security의 연구원은 직접적으로 실행 가능한 PoC 익스플로잇 을 사용하여 로컬 Grafana 설정에서 계정 탈취를 성공적으로 시연하였으며, 이 결함이 악용 가능하고 쉽게 무기화될 수 있다는 것을 입증하였습니다. 위협은 로컬 Grafana 인스턴스에도 영향을 미칩니다. PoC 코드에서 볼 수 있듯이, 이 취약점은 Grafana에 고유한 JavaScript 라우팅을 통한 브라우저 정상화를 우회하여 클라이언트 측에서 완전히 트리거될 수 있습니다.
Grafana 관리자 계정 탈취는 공격자가 내부 대시보드 및 운영 데이터를 액세스하고, 로그와 비즈니스 인사이트를 포함하여 사용자를 잠그거나, 계정을 삭제하거나, 역할을 납치할 수 있는 권한을 부여합니다. 게다가, CVE-2025-4123의 성공적인 악용 시도는 모니터링 실패를 초래할 수 있으며, 주요 시스템에 대한 가시성을 상실하게 될 수도 있습니다.
성공적인 악용은 사용자 상호작용, 활성 세션 및 플러그인 기능 활성화(기본적으로 활성화됨) 등의 특정 조건에 의존하나, 인증 요구 사항이 없고 노출된 인스턴스 수가 많아 위협 표면을 크게 확대합니다.
잠재적인 CVE-2025-4123 완화 조치로, Grafana 관리자는 강력히 권장됩니다. 패치된 버전 중 하나로 업데이트하십시오, 여기에는 10.4.18+security-01, 11.2.9+security-01 이상, 혹은 12.0.0+security-01 등이 포함됩니다.
Shodan을 통해 확인된 46,000개 이상의 노출된 Grafana 인스턴스가 있는 CVE-2025-4123는 영향을 받는 버전을 운영하는 조직에 심각한 위협을 제기하여 침입 위험을 줄이기 위한 신속하고 적극적인 방어 전략이 필요합니다. SOC Prime 플랫폼 은 AI, 자동화 기능, 실시간 CTI로 지원되는 완전한 제품군을 선별하여, 전 세계의 조직이 공격자보다 빠르게 대응할 수 있도록 돕습니다. 제로 트러스트 원칙에 기반하여
