CVE-2024-1313: BOLA Flaw in Grafana Threatens Dashboard Integrity – Patch Immediately
2024/03/27 SecurityOnline — Grafana で、Broken Object Level Authorization (BOLA) の脆弱性 CVE-2024-1313 が発見された。したがって、このソフトウェアに依存して、重要なデータを可視化している組織には、早急にパッチを適用する必要性が生じている。この脆弱性は、Palo Alto Research の Ravid Mazon と Jay Chen により検出されたものであり、その悪用に成功した権限のないユーザーが、悪意を持ってスナップショットを削除できるため、ダッシュボードに混乱が生じ、データの整合性が毀損し、業務に支障が発生する可能性がある。
Broken Object Level Authorization (BOLA) という脆弱性は、データ・オブジェクトの変更/削除を許可する前に、対象となるユーザーが必要な権限を持っているかどうかを、システムのアクセス制御が適切に検証できない場合に発生する。Grafanaでは、この脆弱性により、攻撃者がセキュリティ・メカニズムを迂回し、ダッシュボードのスナップショットをダイレクトに操作する可能性が生じている。
この新たに発見された脆弱性は、Grafana バージョン 9.5.0〜10.3.5 の各シリーズの、パッチ適用済みリリースにまたがるものだ。脆弱性 CVE-2024-1313 を悪用する低特権ユーザーが、スナップショットのキーを介して、他の組織に属するダッシュボードのスナップショットを削除することが可能になる。なお、CVSS スコアは 6.5 であるが、この脆弱性の悪用は驚くほど簡単だ。
Grafana の脆弱性 CVE-2024-1313 は、スナップショットの所有者から見た組織外のユーザーが対象であっても、そのキーを知って API に DELETE リクエストを発行するだけで、ダッシュボードのスナップショットを削除できてしまう。
適切な権限(「基本的な役割なし」のユーザーを含む)がなければ、誰でも、スナップショットのキーまたはURLを知るだけで、管理者が作成したものであっても、あらゆるGrafanaスナップショットを削除できる可能性があります。
No Basic Role のユーザーも含む、適切な権限を持たないユーザーであっても、Grafana スナップショットを削除できる可能性がある。管理者により作成されたスナップショットであっても、そのキーまたは URL を知っているだけで削除は可能だ。
この脆弱性により、データの損失や業務の中断につながる可能性がある。ただし、同じ組織に属する攻撃者が、この脆弱性を悪用しても、スナップショットの削除が不可能な点に留意する必要がある。
Unit42 の調査結果を受け、Grafana は影響を受けるバージョン全体に (9.5.0〜9.5.18/10.0.0〜10.0.13/10.1.0〜10.1.9/10.2.0〜10.2.6/10.3.0〜10.3.5) 対して、速やかにパッチを発行した。同社は、データ環境を保護するために、10.4.x へのアップデートを急ぐようユーザーに促している。
前回の Grafana 関連記事は、2023/06/24 の「Grafana の深刻な脆弱性 CVE-2023-3128 が FIX:Azure AD 統合によるアカウント乗っ取りとは?」であり、久々の登場となります。ログ・データ可視化のための Grafana から、重要なデータが削除される可能性が生じる脆弱性です。ご利用のチームは、ご注意ください。よろしければ、Grafana で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.