Patch Now! Grafana Hit by 9.9 Severity RCE Vulnerability (CVE-2024-9264)
2024/10/18 SecurityOnline — 監視および可視化のための OSS プラットフォームである Grafana に、深刻なセキュリティ脆弱性 CVE-2024-9264 (CVSS:9.9) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコードを実行し、システム全体を完全に侵害する可能性を得るという。
この脆弱性は、SQL を用いてデータ・ソース・クエリの後処理することを可能にする、“SQL Expressions” と呼ばれる実験的な機能に起因するものである。
Grafana Labs のセキュリティ・アドバイザリには、「これらの SQL クエリは完全に無害化されておらず、コマンド・インジェクションとローカルファイル・インクルージョンの脆弱性につながる」と記されている。
それにより、意図された SQL コンテキストを回避する、悪意のクエリを作成する攻撃者が、システム・コマンドの実行や機密ファイルへのアクセスを達成する可能性が生じる。Grafana のアドバイザリには、「Viewer 以上の権限を持つ Grafana ユーザーであれば、この攻撃の実行が可能である」と記されている。
Grafana Labs は、「機能フラグの誤った実装により、この実験的な機能が API デフォルトで有効化されている」と説明している。このデフォルト設定と、システム PATH で DuckDB バイナリが利用できる状況が連鎖し、攻撃に対して脆弱になっている。ここで重要なことは、Grafana のデフォルト・パッケージには、DuckDB バイナリが含まれない点にある。つまり、DuckDB がインストールされ、PATH 経由でアクセス可能なインスタンスだけに、攻撃の可能性が生じることになる。
すでに Grafana Labs は、脆弱性 CVE-2024-9264 への対応を完了し、影響を受ける Grafana 11 に修正版をリリースしている。ユーザーたちに強く推奨されるのは、以下の修正版へと、直ちにアップグレードすることだ。
- 11.0.5+security-01 (security fix only)
- 11.1.6+security-01 (security fix only)
- 11.2.1+security-01 (security fix only)
- 11.0.6+security-01 (includes latest features and security fix)
- 11.1.7+security-01 (includes latest features and security fix)
- 11.2.2+security-01 (includes latest features and security fix)
Grafana Labs は、「脆弱なインスタンスを使用している場合には、パッチが適用されたバージョンの Grafana へと、可能な限り早急にアップグレードすることを推奨する」と述べている。
また、一時的な緩和策として、Grafana Labs が推奨するのは、システムの PATH から DuckDB バイナリを削除すること、もしくは、完全にアンインストールすることである。
Grafana の脆弱性が FIX とのことですが、“SQL Expressions” と呼ばれる実験的な機能と、API のデフォルト値の組み合わせで問題が生じるようです。なんというか、いたるところに脆弱性の要因ありという話しですね。よろしければ、Grafana で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.