Grafana の深刻な脆弱性 CVE-2023-3128 が FIX:Azure AD 統合によるアカウント乗っ取りとは?

Grafana warns of critical auth bypass due to Azure AD integration

2023/06/24 BleepingComputer — Grafana がリリースした、複数のバージョン向けにセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものだ。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取り可能性が生じることになる。Grafanaは、広範 に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供している。

また、オプション機能を備えたアプリのプレミアム版 Grafana Enterprise は、Wikimedia/Bloomberg/JP Morgan Chase/eBay/PayPal/Sony などの有名な組織でも採用されている。


新たに発見されたアカウント乗っ取りの脆弱性 CVE-2023-3128 だが、その深刻度は Critical (CVSS:9.4) と評価されている。

このバグは、関連する profile email 設定を用いてコンフィグレーションされた電子メール・アドレスに起因するものであり、Grafana が Azure AD アカウントを認証していることで誘発される。

ただし、この設定は、すべての Azure AD テナントにおいて一意ではないため、正規の Grafana ユーザーと同じ電子メール アドレスで、攻撃者が Azure AD アカウントを作成し、それを悪用したアカウント乗っ取りにいたる可能性がある。

Grafana のアドバイザリには、「したがって、マルチテナント Azure AD OAuth アプリケーションを用いて、Azure AD OAuth がコンフィグレーション成されている場合には、Grafana アカウントの乗っ取りと、認証バイパスが発生し得る。その悪用に成功した攻撃者は、プライベートな顧客データや機密情報へのアクセスなどを含む、ユーザー・アカウントを完全な制御を手に入れる」」と記されている。

Grafana クラウドには すでにパッチが適用されている

この問題は、マルチテナントの Azure アプリケーションで、ユーザー認証に Azure AD OAuth が使用されることが前提となる。そして、どのユーザー・グループが認証されるのかという制限 (‘allowed_groups’ 設定) が無い、すべての Grafana デプロイメントに影響を及ぼす。

この脆弱性は、Grafana の Ver 6.7.0 以降に存在するが、ブランチである 8.5/9.2/9.3/9.5/10.0 用の修正プログラムもリリースされている。

セキュリティ問題に対処するための、アップグレードが推奨されるバージョンは以下の通りである:

  • Grafana 10.0.1 or later
  • Grafana 9.5.5 or later
  • Grafana 9.4.13 or later
  • Grafana 9.3.16 or later
  • Grafana 9.2.20 or later
  • Grafana 8.5.27 or later

なお、Grafana クラウドに関しては、Amazon や Microsoft などのクラウド・プロバイダーとの調整の結果として、すでに最新バージョンにアップグレードされている。

Grafana インスタンスを、直ちにセキュアなバージョンにアップグレードできない場合のために、以下の2つの緩和策も提案されている:

  1. Azure AD にシングル・テナント・アプリケーションを登録し、外部テナント からのログイン試行を防ぐ。
  2. Azure AD の設定に “allowed_groups” コンフィグレーションを追加し、サインイン試行をホワイト・リスト化されたグループ・メンバーに制限する。

Grafana からのアドバイザリには、最新パッチの導入で変更された、特定のユースケースで発生するかもしれない問題に対処するための、ガイダンスも含まれている。したがって、”user sync failed” または “user already exists” エラーが発生した場合には、このアドバイザリを参照してほしい。

つい先日の 2023/05/20 に、「Microsoft Azure AD の OAuth に深刻な問題:認証の目的での “email” クレーム使用は不可」という記事がありましたが、なんとなく、コレっぽい感じがしますね、それにしても、Grafana Enterprise には、Wikimedia/Bloomberg/JP Morgan Chase/eBay/PayPal/Sony などの顧客がいるのですね。ちょっと、驚きました。その Grafana に存在する脆弱性 CVE-2023-3128 ですが、アカウント乗っ取りにもいたる、危険なものとのことです。よろしければ、以下の関連記事も、ご参照ください。

2022/08/26:CISA 警告:Grafana など 10件が KEV リストに追加
2022/06/08:Grafana の脆弱性 CVE-2022-32275/CVE-2022-32276
2021/12/07:Grafana のゼロデイ脆弱性 PoC が Twitter で拡散