Skip to main content

Versión de seguridad de Grafana: corrección de gravedad crítica para CVE-2024-9264

octubre 21, 2024


Hoy lanzamos versiones de parches para Grafana 11.0.x, 11.1.x y 11.2.x que contienen una solución para CVE-2024-9264, una vulnerabilidad de seguridad de gravedad crítica en Grafana que introdujo la inyección de comandos y la inclusión de archivos locales (LFI) a través de Expresiones SQL. Grafana 10.x no se ve afectado por esta vulnerabilidad.

Nota: Por precaución, estamos lanzando dos conjuntos de parches de seguridad que contienen la solución para esta vulnerabilidad.

Para los usuarios que solo desean la solución de seguridad, actualice a una de las siguientes versiones:

Versión 11.0.5+seguridad-01

Versión 11.1.6+seguridad-01

Versión 11.2.1+seguridad-01

Para los usuarios que quieran actualizar a la versión más reciente de Grafana (que se lanzó el 1 de octubre), así como a la solución de seguridad, actualice a una de las siguientes versiones:

Versión 11.0.6+seguridad-01

Versión 11.1.7+seguridad-01

Versión 11.2.2+seguridad-01

Inyección de comandos e inclusión de archivos locales mediante expresiones SQL (CVE-2024-9264)

Resumen

Un ingeniero de Grafana Labs descubrió una vulnerabilidad RCE (ejecución remota de código) que se introdujo en Grafana 11. La vulnerabilidad estaba en una característica experimental llamada Expresiones SQL que permite que la salida de la consulta de la fuente de datos se procese posteriormente mediante la ejecución de una o más consultas SQL. Para ello, pasa la consulta y los datos a la CLI de DuckDB, que ejecuta el SQL con los datos del DataFrame. Estas consultas SQL fueron no se desinfectó por completo, lo que provocó una inyección de comandos y una vulnerabilidad de inclusión de archivos locales.

Debido a una implementación incorrecta de los indicadores de funciones, esta función experimental está habilitada de forma predeterminada para la API. Sin embargo, para que sea explotable, el binario DuckDB debe ser accesible a través de la RUTA del entorno del proceso Grafana. El binario DuckDB no está empaquetado con Grafana de forma predeterminada, por lo que para que sea explotable, el sistema debe tener DuckDB instalado e incluido en la RUTA de Grafana. Si DuckDB no está presente, el sistema no es vulnerable.

La puntuación CVSS v3.1 para esta vulnerabilidad es 9.9 Crítico.

Se han aplicado los parches adecuados a Grafana Cloud. Como siempre, también coordinamos estrechamente con todos los proveedores de la nube con licencia para ofrecer Grafana Cloud Pro. Recibieron una notificación temprana bajo embargo y confirmaron que sus ofertas están seguras en el momento de este anuncio. Esto se aplica a Amazon Managed Grafana y Azure Managed Grafana.

Impacto

La vulnerabilidad podría usarse para acceder a cualquier archivo en la máquina host, incluidas las contraseñas no cifradas dentro de esos archivos. Cualquier usuario de Grafana que tenga permisos de Visor o superiores es capaz de ejecutar este ataque.

Soluciones y mitigaciones

Si su instancia es vulnerable, le recomendamos encarecidamente que actualice a una de las versiones parcheadas de Grafana lo antes posible.

Como mitigación, elimine el duckdb binario de PATH, o eliminarlo por completo del sistema. Ninguna otra característica de Grafana lo requiere y el binario no está presente en las distribuciones normales.

Versiones impactadas

Grafana >= v11.0.0 (todos los v11.xy se ven afectados)

Cronograma y revisión posterior al incidente

Todos los horarios están en UTC

  • 2024-02-27 – relaciones públicas fusionadasagregando expresiones SQL a Grafana.
  • 2024-09-26 15:54 – Vulnerabilidad descubierta por personal interno.
  • 2024-09-26 18:34: el ingeniero de Grafana confirma que la API es vulnerable a LFI.
  • 2024-09-26 19:39 – Los ingenieros de Grafana detectan que RCE también probablemente se base en la funcionalidad disponible en DuckDB.
  • 2024-09-26 20:10 – Vulnerabilidad clasificada como 9.9.
  • 2024-09-27 13:03: lanzamientos continuos del parche de seguridad completos en todos los canales para Grafana Cloud.
  • 2024-09-27 15:04: se tomó la decisión de eliminar por completo la funcionalidad de expresiones SQL de Grafana OSS y Grafana Enterprise para una versión de seguridad.
  • 2024-09-30 02:12 – Todos los parches de seguridad escritos y fusionado eliminando la función de expresiones SQL.
  • 2024-10-01 13:58: alternancia de funciones deshabilitada para las nueve instancias de producción que se habían habilitado. La función ahora está deshabilitada en todas las instancias de Grafana Cloud.
  • 2024-10-02 20:57 – Todos los artefactos construidos y verificados.
  • 2024-10-03 08:00 – Lanzamiento privado.
  • 2024-10-18 02:18 – Lanzamiento público.
  • 2024-10-18 03:00 – Blog publicado.

Informar problemas de seguridad

Si cree que ha encontrado una vulnerabilidad de seguridad, vaya a nuestro Página Informar un problema de seguridad para aprender cómo enviar un informe de seguridad.

Grafana Labs le enviará una respuesta indicando los próximos pasos para manejar su informe. Después de la respuesta inicial a su informe, el equipo de seguridad lo mantendrá informado sobre el progreso hacia una solución y un anuncio completo, y puede solicitarle información u orientación adicional.

Importante: Le pedimos que no revele la vulnerabilidad antes de que se haya solucionado y anunciado, a menos que haya recibido una respuesta del equipo de seguridad de Grafana Labs indicando que puede hacerlo.

Anuncios de seguridad

Mantenemos un categoría de seguridad en nuestro blog, donde siempre publicaremos un resumen, detalles de corrección y mitigación para cualquier parche que contenga correcciones de seguridad. También puedes suscribirte a nuestro canal RSS.



Source link

Translate »