Grafana warns of critical auth bypass due to Azure AD integration
Grafana ได้ออกการแพตช์ด้านความปลอดภัยสำหรับแอปพลิเคชันหลายเวอร์ชัน โดยแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์และเข้ายึดบัญชี Grafana ที่ใช้ Azure Active Directory สำหรับการตรวจสอบสิทธิ์ Grafana เป็นแอปการวิเคราะห์แบบโอเพ่นซอร์สและ interactive visualization ที่ใช้กันอย่างแพร่หลายซึ่งมีตัวเลือกการรวมที่กว้างขวางพร้อมแพลตฟอร์มและแอปพลิเคชันการตรวจสอบที่หลากหลาย ช่องโหว่ที่ค้นพบได้รับการติดตามเป็น CVE-2023-3128 และได้รับคะแนน CVSS v3.1 ที่ 9.4 ซึ่งจัดอยู่ในความรุนแรงระดับ Critical ช่องโหว่นี้เกิดจากการที่ Grafana ตรวจสอบบัญชี Azure AD ตามที่อยู่อีเมลที่กำหนดค่าในการตั้งค่า profile email ที่เกี่ยวข้อง อย่างไรก็ตามการตั้งค่านี้จะไม่ซ้ำกันใน Azure AD ทั้งหมด ทำให้ผู้โจมตีสามารถสร้างบัญชี Azure AD ด้วยที่อยู่อีเมลเดียวกันกับผู้ใช้ Grafana ที่ถูกต้องและใช้เพื่อยึดบัญชี
ปัญหาเหล่านี้ส่งผลกระทบต่อการปรับใช้ Grafana ทั้งหมดที่กำหนดค่าให้ใช้ Azure AD Auth สำหรับการรับรองความถูกต้องของผู้ใช้ด้วยแอปพลิเคชัน Azure แบบหลายผู้เช่าโดยไม่มีข้อจำกัดว่ากลุ่มผู้ใช้ใดสามารถตรวจสอบสิทธิ์ได้จากการกำหนดค่า allowed_groups ช่องโหว่นี้มีอยู่ใน Grafana ทุกรุ่นตั้งแต่ 6.7.0 และใหม่กว่า แต่ผู้จำหน่ายซอฟต์แวร์ออกการแก้ไขสำหรับสาขา 8.5, 9.2, 9.3, 9.5 และ 10.0 ซึ่งเวอร์ชันที่แนะนำให้อัปเกรดเพื่อแก้ไขปัญหาด้านความปลอดภัยคือ - Grafana 10.0.1 หรือใหม่กว่า - Grafana 9.5.5 หรือใหม่กว่า - Grafana 9.4.13 หรือใหม่กว่า - Grafana 9.3.16 หรือใหม่กว่า - Grafana 9.2.20 หรือใหม่กว่า - Grafana 8.5.27 หรือใหม่กว่า Grafana Cloud ได้รับการอัปเกรดเป็นเวอร์ชันล่าสุดแล้ว เนื่องจากผู้จำหน่ายได้ประสานงานกับผู้ให้บริการคลาวด์อย่าง Amazon และ Microsoft ซึ่งได้รับการแจ้งเตือนล่วงหน้าเกี่ยวกับปัญหาภายใต้การห้ามส่งสินค้า
สำหรับผู้ที่ไม่สามารถอัปเกรดอินสแตนซ์ Grafana เป็นเวอร์ชันที่ปลอดภัยได้ Grafana จึงแนะนำวิธีการบรรเทาปัญหาเบื้องต้นดังต่อไปนี้ 1. ลงทะเบียนแอปพลิเคชันผู้เช่ารายเดียวใน Azure AD ซึ่งควรป้องกันความพยายามในการเข้าสู่ระบบจากผู้เช่าภายนอก (บุคคลภายนอกองค์กร) 2. เพิ่มการกำหนดค่า allowed_groups ให้กับการตั้งค่า Azure AD เพื่อจำกัดความพยายามในการลงชื่อเข้าใช้สำหรับสมาชิกของกลุ่มที่อนุญาตพิเศษ ดังนั้นจึงปฏิเสธความพยายามทั้งหมดโดยอัตโนมัติโดยใช้อีเมลตามอำเภอใจ นอกจากนี้ Grafana ยังมีคำแนะนำสำหรับการจัดการกับปัญหาที่อาจเกิดขึ้นในกรณีการใช้งานเฉพาะเนื่องจากการเปลี่ยนแปลงที่นำเสนอโดยแพตช์ล่าสุด ดังนั้นโปรดอ่านคำแนะนำหากคุณได้รับข้อผิดพลาด user sync failed หรือ user already exists
https://www.bleepingcomputer.com/news/security/grafana-warns-of-critical-auth-bypass-due-to-azure-ad-integration/