Grafana の脆弱性 CVE-2022-32275/CVE-2022-32276:悪用の試みを検出するには

CVE-2022-32275 and CVE-2022-32276 Detection of Exploitation Attempts: New Vulnerabilities Affecting Grafana

2022/06/08 SOCPrime — 2021年12月に、Grafana のゼロデイ脆弱性 CVE-2021-43798 が野放しで活発に悪用されたことが、サイバー脅威の分野で注目を集めた。そして、世界中の数百万のユーザーが活用している、このオープンソースの観測プラットフォームに、新しい脆弱性が登場した。グローバルな組織が、メトリックの収集とリアルタイムのデータ可視化のために活用している Grafana は、最近に発見された脆弱性 CVE-2022-32275/CVE-2022-32276 により、新しい攻撃の波にさらされている。これらの脆弱性は、主に Grafana Ver 8.4.3 に影響を及ぼすとされている。

CVE-2022-32275/CVE-2022-32276 のエクスプロイトの試行が検出された

オープンソースの Web ベース・ソリューションを使用するという傾向が強まっているが、その範囲と影響が常に拡大しているサイバー攻撃の観点からみると、ユーザー組織におけるセキュリティ・リスクの高まりは無視できない。それぞれの組織がサイバー防御能力を強化し、Grafana の脆弱性 CVE-2022-32275/CVE-2022-32276 の悪用の試みをタイムリーに検出できるようにするため、SOC Prime Team は専用の Sigma Rule をリリースした。

Possible CVE-2022-32275/CVE-2022-32276 Exploitation Attempt (via webserver)

この検知ルールは、15種類のセキュリティ/分析のプラットフォームとの互換性を持ち、Exploit Public-Facing Application テクニック(T1190)に代表される、イニシャル・アクセス戦術に対応するための MITRE ATT&CK フレームワークと整合している。さらに、サイバーセキュリティ担当者は、SOC Prime のプラットフォームで提供される Quick Hunt を用いて、一連の Grafana 関連脅威を即座に検索できる。

Grafana 環境に関連する、サイバー脅威を検出する Sigma Rule の全リストにアクセスするには、DETECT & HUNT をクリックしてほしい。また、脅威ハンター/検知エンジニアなどの情報セキュリティ担当者は、SOC Prime のサイバー脅威検索エンジンを最大限に活用し、MITRE ATT&CK リファレンスや、CTI、最も関連性の高いメタデータを含む包括的な脅威コンテキストを探索することで、瞬時に脅威調査を強化することが可能だ。

CVE-2022-32276/CVE-2022-32275 について

脆弱性 CVE-2022-32276 は、Grafana Ver 8.4.3 に影響をおよぼし、ランダムな ID 値を持つ不正なスナップショット・クエリのリクエストを送信することで、認証を必要とせずにシステムへのアクセスを可能にしてしまう。

もう一方の脆弱性 CVE-2022-32275 は、未認証ユーザを内部システム・ページにリダイレクトするという、セッション制御の問題に起因するものであり、システムへの未認証アクセスを許してしまう。上記の脆弱性の悪用に成功した攻撃者は、通常では、認証されたユーザーのみがアクセスできる隠しファイルを閲覧できてしまう。

注目すべきは、いずれの脆弱性も、Grafana Labs ではセキュリティ以外の UI 関連の問題として評価されており、研究者たちによると、ユーザー・エクスペリエンスの観点からの改善が必要だとのことだ。しかし、これらの Grafana 脆弱性を武器化する潜在的なサイバー攻撃からシステムを保護するために、Grafana ユーザーはアプリケーションのバージョンを、最新のものに更新することが推奨される。

SOC Prime の Detection as Code プラットフォームに参加し、セキュリティ運用の効果を高めると同時に、ルーチン・タスクに費やされる時間とコストを節約してほしい。ワンクリックで最新の脅威をハントし、最大の Sigma Rule ライブラリに即座にアクセスし、コンテンツ管理操作を自動化し、脅威検出への取り組みを一箇所に記録する。独自の Sigma Rule を作成し、サイバー防御の共同作業を強化したいと考えるだろうか? Sigma の Threat Bounty Program にも参加してほしい。

この SOCPrime というメディアですが、記事を拾うのは初めてのことです。サイト名に SOC という文字が入っているだけに、コンテンツの方も CVE が目立つ構成になっています。なお、お隣りのキュレーションチームに聞いてみたところ、CVE-2022-32275 と CVE-2022-32276 は、すでに追いかけているとのことでした。サービスの性質上、脆弱性が悪用された場合の被害が、甚大なものになる可能性が高いと思われます。お使いの方は、ベンダーサイトで情報を得るようにしてください。

%d bloggers like this: