Vulnerabilità di Account Takeover su Grafana

PROTO: N050623

CERT-Yoroi desidera informarLa riguardo una vulnerabilità critica che colpisce la tecnologia Grafana, una delle principali piattaforme open-source per la visualizzazione e l'analisi interattiva di dati. Questa piattaforma open-source offre strumenti facili da usare e visivamente accattivanti per l'analisi e la visualizzazione dei dati, servendo una vasta gamma di utenti, da progetti su piccola scala a implementazioni massicce a livello aziendale. Tale vulnerabilità è nota con l’identificativo CVE-2023-3128.

La falla di sicurezza può potenzialmente consentire a un aggressore di bypassare le procedure di autenticazione prendere il controllo dell'account di un utente. Il cuore di questa vulnerabilità è il processo di convalida di Grafana. In particolare, quando viene utilizzato in combinazione con Azure Active Directory OAuth configurato con un'applicazione multi-tenant, Grafana convalida gli account in base alla e-mail dichiarata. Tuttavia, non essendo univoco il campo e-mail del profilo tra i diversi tenant di Azure AD, vi è la possibilità che un tenant di Azure AD ne possa impersonare un altro utilizzando lo stesso indirizzo email.

Gli aggressori che sfruttano questa falla di sicurezza potrebbero ottenere il pieno controllo dell'account di un utente, aprendo le porte a dati sensibili dei clienti e ad altre informazioni critiche, quali dettagli molto approfonditi sull’infrastruttura interna della vittima.

La vulnerabilità riguarda principalmente le implementazioni di Grafana a partire dalla versione 6.7 ( e superiori) che utilizzano Azure AD OAuth multi-tenant senza una configurazione allowed_groups.

Il team di Grafana ha risposto prontamente a questo problema urgente e ha corretto la vulnerabilità nelle versioni 10.0.1, 9.5.5, 9.4.13, 9.3.16, 9.2.20 e 8.5.27. Nel caso in cui l’istanza di Grafana utilizzata appartenga a queste versioni o a versioni successive non si evidenziano minacce.

Al momento, qualora non fosse possibile effettuare l’aggiornamento di versione, una possibile mitigazione consiste nell'aggiunta di una configurazione “allowed_groups” alla configurazione di Azure AD la quale assicura che un utente che effettua il login appartenga anche ad un gruppo in Azure AD. Questa misura riduce efficacemente il rischio che un aggressore possa sfruttare un'e-mail arbitraria.

In alternativa, la registrazione di un'applicazione single tenant in Azure AD elimina efficacemente il vettore di attacco in quanto impedisce l'opportunità di impersonare un altro tenant.

A questo proposito Yoroi suggerisce di seguire le remediation indicate dall’azienda Grafana.  

Riferimenti di terze parti 

• https://grafana.com/security/security-advisories/cve-2023-3128/
• https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
• https://nvd.nist.gov/vuln/detail/CVE-2023-3128
• https://www.cve.org/CVERecord?id=CVE-2023-3128
• https://securityonline.info/cve-2023-3128-grafana-account-takeover-vulnerability/?utm_source=dlvr.it&utm_medium=twitter&utm_content=cmp-true