Grafana 제로데이 취약점(CVE-2021-43798) 탐지
목차:
새로운 제로데이 취약점이 야생에서 악용될 준비를 하십시오. 최근 공개된 결함은 전 세계의 조직이 데이터를 추적하고 이해하는 데 사용하는 멀티 플랫폼 오픈 소스 분석 및 인터랙티브 시각화 애플리케이션인 Grafana에 영향을 미칩니다. 취약점 세부 정보가 온라인에 가끔 유출된 후, Twitter와 GitHub에 많은 개념 증명 익스플로잇이 확산되었고, 이는 Grafana가 2021년 12월 7일 긴급 패치를 출시하도록 강제했습니다.
CVE-2021-43798 설명
고위험으로 평가된 취약점은 Grafana 대시보드에 영향을 미치는 경로 탐색 문제입니다. 성공적으로 악용될 경우, 이 결함은 공격자가 Grafana 애플리케이션 폴더 외부로 이동하여 제한된 위치에 있는 파일을 읽을 수 있게 합니다. 예를 들어, 공격자는 Grafana 플러그인 URL을 악용하여 애플리케이션 폴더를 탈출하고, 비밀번호 및 구성 설정을 포함하여 기본 서버에 저장된 민감한 데이터에 접근할 수 있습니다.
v8.0.0-beta1부터 v8.3.0까지 운영되는 모든 Grafana 자체 호스팅 서버가 취약점에 노출되었습니다. 추가 보안 보호 조치 덕분에 클라우드 호스팅된 Grafana 대시보드는 안전한 것으로 간주됩니다.
이 취약점은 2021년 12월 3일에 비공개적으로 Grafana Labs에 보고됐으며, 공급업체는 즉시 패치를 제안했습니다. 내부 배포는 2021년 12월 7일에 예정되어 있었으며, 공개 배포는 2021년 12월 14일에 계획되었습니다. 그러나 Grafana 제로데이의 세부 사항이 온라인에 유출되면서 PoC 익스플로잇의 쇄도가 발생했습니다. 공격 위험 증가를 고려하여, 공급업체는 긴급히 CVE-2021-43798에 대항하여 패치된 Grafana 8.3.1, 8.2.7, 8.1.8, 및 8.0.7 버전을 출시했습니다.
현재 보안 연구자들은 약 3,000에서 5,000개의 Grafana 서버가 공격에 노출되어 있다고 보고하고 있습니다. 이들 대부분은 대규모 기업 네트워크를 모니터링하는 데 사용됩니다.
CVE-2021-43798 탐지 및 완화
Grafana Labs는 권고문 을 발행하여 제로데이 취약점의 세부 정보를 제공하고 사용자가 가능한 빨리 업그레이드할 수 없는 경우 가능한 위험을 완화하는 방법에 대한 권장 사항을 제공합니다.
조직이 인프라를 더 잘 보호할 수 있도록 SOC Prime Team은 최근 Grafana LFI 익스플로잇 시도를 발견할 수 있도록 보안 전문가들을 위한 특별한 Sigma 기반 룰을 개발했습니다. 보안 팀은 SOC Prime의 Detection as Code 플랫폼에서 해당 룰을 다운로드할 수 있습니다:
Unauth Grafana 임의 파일 읽기 취약점 [CVE-2021-43798] (웹 기반)
이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 포함되어 있습니다: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix, 및 Open Distro.
이 룰은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 주요 기술(T1190)로 공개 접근 애플리케이션 익스플로잇을 사용하여 초기 접근 전술을 해결합니다.
SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 SIEM 또는 XDR 환경에서 최신 위협을 검색하고, MITRE ATT&CK 매트릭스와 일치하는 가장 관련 있는 콘텐츠에 도달하여 위협 범위를 개선하며, 전반적으로 조직의 사이버 방어 능력을 향상하십시오. 콘텐츠 제작자이신가요? SOC Prime Threat Bounty 프로그램에 가입하여, 자신만의 탐지 콘텐츠를 수익화할 수 있도록 세계 최대의 사이버 방어 커뮤니티의 힘을 활용하십시오.
