Detectando a Vulnerabilidade de Dia Zero no Grafana (CVE-2021-43798)
Índice:
Prepare-se para a nova vulnerabilidade zero-day explorada ao ar livre. Uma falha recentemente divulgada afeta o Grafana, um aplicativo de visualização interativa e análise de código aberto multiplataforma usado por organizações globalmente para rastrear e entender as métricas de seus dados. Após os detalhes da vulnerabilidade terem sido ocasionalmente vazados online, a multiplicidade de exploits prova de conceito se espalhou pelo Twitter e GitHub, forçando o Grafana a lançar um patch de emergência em 7 de dezembro de 2021.
Descrição CVE-2021-43798
A vulnerabilidade, classificada como de alta gravidade, é um problema de travessia de caminho que afeta o painel do Grafana. Se explorada com sucesso, a falha permite que um invasor navegue para fora da pasta de aplicativos do Grafana e leia arquivos localizados em locais restritos. Por exemplo, os adversários podem escapar da pasta do aplicativo abusando das URLs dos plugins do Grafana para alcançar dados sensíveis armazenados no servidor subjacente, incluindo senhas e configurações de configuração.
Todos os servidores auto-hospedados do Grafana executando v8.0.0-beta1 até v8.3.0 foram considerados vulneráveis. Os painéis do Grafana hospedados na nuvem são considerados seguros devido às proteções de segurança adicionais.
A vulnerabilidade foi reportada em privado para o Grafana Labs em 3 de dezembro de 2021, e o fornecedor rapidamente desenvolveu o patch. O lançamento interno estava planejado para 7 de dezembro de 2021, com o lançamento público agendado para 14 de dezembro de 2021. No entanto, os detalhes do zero-day do Grafana vazaram online, desencadeando a avalanche de exploits PoC. Diante do aumento do risco de ataques, o fornecedor lançou com urgência as versões Grafana 8.3.1, 8.2.7, 8.1.8 e 8.0.7, corrigidas contra o CVE-2021-43798.
Atualmente, pesquisadores de segurança relatam cerca de 3.000 a 5.000 servidores Grafana expostos a ataques. A maioria deles é usada para monitorar grandes redes corporativas.
Detecção e Mitigação CVE-2021-43798
O Grafana Labs emitiu um aviso fornecendo detalhes da vulnerabilidade zero-day e recomendações sobre como mitigar possíveis riscos se os usuários não puderem atualizar o mais rápido possível.
Para ajudar as organizações a proteger melhor sua infraestrutura, a equipe do SOC Prime desenvolveu recentemente a regra dedicada baseada em Sigma, permitindo que profissionais de segurança descubram tentativas de exploração do Grafana LFI. As equipes de segurança podem baixar a regra a partir da plataforma Detection as Code do SOC Prime:
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix e Open Distro.
A regra está alinhada com o último framework MITRE ATT&CK® v.10 abordando a tática de Acesso Inicial com a técnica Exploit Public-Facing Application como principal (T1190).
Junte-se à plataforma Detection as Code do SOC Prime gratuitamente para pesquisar as ameaças mais recentes no seu ambiente SIEM ou XDR, melhorar sua cobertura contra ameaças alcançando o conteúdo mais relevante alinhado com a matriz MITRE ATT&CK e, de maneira geral, aumentar as capacidades de defesa cibernética da organização. Você é um autor de conteúdo? Aprofunde-se no poder da maior comunidade de defesa cibernética do mundo juntando-se ao programa Threat Bounty do SOC Prime, onde pesquisadores podem monetizar seu próprio conteúdo de detecção.
