Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Junho foi um mês turbulento para os defensores cibernéticos, marcado por um aumento de vulnerabilidades de alto perfil que abalou o cenário de segurança. Após a exploração das falhas do SimpleRMM pelo grupo de ransomware DragonForce e o uso ativo do zero-day WebDAV CVE-2025-33053 pelo Stealth Falcon APT, os pesquisadores identificaram agora mais uma ameaça crítica.
Uma nova vulnerabilidade zero-day corrigida no Grafana, a amplamente utilizada plataforma de análise de código aberto, está levantando sérias preocupações de segurança. Essa falha de script entre sites (XSS) de alta gravidade (CVE-2025-4123) permite que atacantes executem plugins maliciosos e assumam contas de usuário sem precisar de privilégios elevados. Apesar da disponibilidade de uma correção, mais de 46.500 instâncias ainda estão executando versões vulneráveis, deixando-as abertas a potenciais explorações.
A falha crítica no Grafana é um lembrete claro do número crescente de vulnerabilidades que afetam o software de código aberto. De acordo com o relatóriode Análise de Segurança e Risco de Código Aberto (OSSRA) de 2025, 86% dos aplicativos analisados contêm componentes de código aberto vulneráveis, com 81% apresentando vulnerabilidades de risco alto ou crítico. Esses números destacam a necessidade de estar sempre em guarda contra as novas vulnerabilidades, para que os profissionais de segurança precisem de conteúdo de detecção relevante e ferramentas avançadas para detectar ameaças em tempo hábil.
Inscreva-se na Plataforma SOC Prime para acessar o feed global de ameaças ativas, que oferece inteligência de ameaças cibernéticas em tempo real e algoritmos de detecção selecionados para lidar com ameaças emergentes. Todas as regras são compatíveis com vários formatos de SIEM, EDR e Data Lake e mapeadas para a MITRE ATT&CK® framework. Além disso, cada regra é enriquecida com CTI links, cronogramas de ataque, configurações de auditoria, recomendações de triagem e mais contexto relevante. Pressione o botão Explorar Detecções para ver todo o conjunto de detecção para defesa proativa contra vulnerabilidades críticas filtradas pela tag “CVE”.
Os engenheiros de segurança também podem utilizar Uncoder AI— uma IA privada e não-agente construída especificamente para a engenharia de detecção informada por ameaças. Com o Uncoder, os defensores podem converter automaticamente IOCs em consultas de caça acionáveis, criar regras de detecção a partir de relatórios de ameaças brutas, habilitar previsões de tags de ATT&CK, aproveitar a otimização de consultas impulsionada por IA e traduzir o conteúdo de detecção em várias plataformas.
Análise do CVE-2025-4123
As descobertas da OX Security ilustram que 36% das instâncias de Grafana voltadas para o público estão atualmente vulneráveis a uma falha de redirecionamento aberto do lado do cliente que pode levar à execução de plugins maliciosos e à tomada de contas, com muitos mais sistemas provavelmente afetados dentro de redes segmentadas ou por trás de firewalls. Mesmo as implantações internas do Grafana, não conectadas diretamente à internet, permanecem em risco devido à possibilidade de ataques cegos explorando a mesma vulnerabilidade subjacente.
Rastreada como CVE-2025-4123, essa vulnerabilidade zero-day XSS afeta várias versões da popular plataforma de monitoramento e visualização de código aberto. A falha, também apelidada de “The Grafana Ghost”, foi descoberta em maio e corrigida pela Grafana Labs nas atualizações de segurança lançadas em 21 de maio. Mesmo as implantações internas do Grafana que não estão diretamente conectadas à Internet permanecem em risco devido à possibilidade de ataques cegos explorando a mesma vulnerabilidade subjacente.
Embora a Política de Segurança de Conteúdo (CSP) padrão do Grafana ofereça alguma defesa, ela é insuficiente devido às limitações da aplicação do lado do cliente. A vulnerabilidade envolve uma cadeia de explorações que começa quando a vítima clica em um link malicioso especialmente criado. Este URL armado solicita que o Grafana carregue um plugin desonesto de um servidor adversário. Uma vez carregado, o plugin pode executar código arbitrário como o usuário, como alterar o nome de usuário e o e-mail de login da vítima para valores controlados pelo atacante ou redirecioná-los para serviços internos. Com o e-mail alterado, o atacante pode iniciar uma redefinição de senha e assumir o controle total da conta da vítima.
Os pesquisadores da OX Security usaram um exploit PoC ao vivo para demonstrar com sucesso a tomada de conta em instalações locais do Grafana, provando que a falha é tanto explorável quanto facilmente armada. A ameaça se estende também às instâncias locais do Grafana. Como mostrado no código PoC, a vulnerabilidade pode ser desencadeada inteiramente do lado do cliente, burlando a normalização do navegador através do roteamento JavaScript nativo do Grafana.
Comprometer uma Conta de Administrador do Grafana pode dar aos atacantes luz verde para ganhar acesso a painéis internos e dados operacionais, incluindo logs e insights de negócios, para bloquear usuários, excluir contas ou sequestrar funções. Além disso, explorações bem-sucedidas do CVE-2025-4123 também podem potencialmente levar ao fracasso no monitoramento, resultando na perda de visibilidade de sistemas chave.
Embora a exploração bem-sucedida dependa de condições específicas, como interação do usuário, uma sessão ativa e a funcionalidade de plugins ativada (que está por padrão), a falta de requisitos de autenticação e o alto número de instâncias expostas expandem significativamente a superfície de ameaça.
Como medidas potenciais de mitigação do CVE-2025-4123, os administradores do Grafana são fortemente aconselhados a atualizar para uma das versões corrigidas, incluindo 10.4.18+security-01, 11.2.9+security-01 ou posterior, ou 12.0.0+security-01.
Com 46.000+ instâncias do Grafana expostas identificadas via Shodan, o CVE-2025-4123 representa uma ameaça significativa para organizações que executam versões impactadas, o que exige estratégias de defesa rápidas e proativas para reduzir o risco de intrusões. Plataforma SOC Prime cura um conjunto completo de produtos apoiados por IA, capacidades de automação, CTI em tempo real e construído sobre princípios zero-trust para capacitar organizações em todo o mundo a agir mais rápido do que os atacantes.
