Grafana のゼロデイ脆弱性 CVE-2021-43798 の PoC が Twitter で拡散

Grafana fixes zero-day vulnerability after exploits spread over Twitter

2021/12/07 BleepingComputer — 今日、オープンソースの分析/可視化ソリューションを提供する Grafana は、ローカル・ファイルへのリモート・アクセスを許してしまう、深刻度の高いゼロデイ脆弱性を修正する緊急アップデートを行った。この問題の詳細は、今週の初めに公開が始まっており、Grafana Labs は影響を受けるVersion 8.0.0-beta1〜8.3.0 のアップデートを提供した。

プラグインの URL パス

本日の未明に、Grafana 8.3.1/8.2.7/8.1.8/8.0.7 がリリースされ、パス・トラバーサルの脆弱性が修正された。この脆弱性を悪用する攻撃者は、Grafana フォルダの外に移動し、/etc/password/ などのサーバー上の制限された場所に、リモート・アクセスが可能な状態になっていた。

今日、Grafana Labs は、ブログ記事を公開し、その問題はインストールされたプラグインの URL に存在し、パス・トラバーサル攻撃に対して脆弱であると説明した。すべての Grafana インストールには、デフォルトでプラグインのセットがインストールされているため、脆弱な URL パスは全てのインスタンスに存在することになる。

Grafana Labs は、先週末の12月3日に、この脆弱性に関する報告を受け、同日中に修正策を打ち出した。同社の開発者は、本日中にプライベート・カスタマー向けのリリースを、12月14日にはパブリック向けのリリースを予定しているとのことだ。

PoC が Twitter と GitHub で拡散

しかし、このバグに関するニュースが公開されたことで、昨日には2つ目の報告があった。Twitter や GitHub では、このバグを利用するための PoC (Proof-of-Concepts) や技術的な詳細が直ちに公開された。非公開で報告されたバグがゼロデイとして流出してしまったため、Grafana Labs は修正プログラムの公開を余儀なくされた。

  • 2021-12-06: 脆弱性に関する第二報を受信
  • 2021-12-07: 脆弱性が一般に漏洩し、ゼロデイになったという情報を入手
  • 2021-12-07: 可能な限り迅速にリリースすることを決定
  • 2021-12-07: 通常の1週間ではなく、2時間の猶予期間を設けて非公開とする
  • 2021-12-07: 公開リリース

    現在、この脆弱性 CVE-2021-43798 は、深刻度スコアが 7.5 となっており、更新されていないオンプレミス・サーバーでは、依然として悪用が可能な状態である。ただし、Grafana Cloud のインスタンスは、影響を受けていないとのことだ。パブリックな報告によると、インターネット上に数千台の Grafana サーバーが公開されているとのことだ。脆弱性のあるインスタンスを迅速にアップデートできない場合は、そのサーバーを、パブリックな Web からアクセスできないように、隔離することが推奨されている。

この Grafana の 脆弱性 CVE-2021-43798 ですが、お隣のキュレーション・チームに確認したら、12月9日にレポートしているとのことでした。Grafana はオープンソースとして提供され、監視と分析を行い、その結果を視覚化するWebアプリケーションとのことです。したがって、高い権限を持ちながら、システムの各所をチェックしていくことになるので、ここが侵害されると致命的な被害にいたる可能性が高くなります。ご注意ください。

%d bloggers like this: