La solution d’analyse open source et de visualisation interactive Grafana a reçu aujourd’hui une mise à jour d’urgence pour corriger une vulnérabilité zero-day de haute gravité qui permettait l’accès à distance aux fichiers locaux.
Les détails du problème ont commencé à être rendus publics plus tôt cette semaine, avant que Grafana Labs ne déploie des mises à jour pour les versions 8.0.0-beta1 à 8.3.0 concernées.
Chemin de l’URL du plug-in
Plus tôt dans la journée, Grafana 8.3.1, 8.2.7, 8.1.8 et 8.0.7 ont été publiés pour corriger une vulnérabilité de traversée de chemin qui pourrait permettre à un attaquant de naviguer en dehors du dossier Grafana et d’accéder à distance à des emplacements restreints sur le serveur, tels que /etc/mot de passe/.
Grafana Labs a publié aujourd’hui un article de blog expliquant que le problème venait de l’URL des plug-ins installés, qui était vulnérable aux attaques de traversée de chemin.
Étant donné que toutes les installations de Grafana ont un ensemble de plugins installés par défaut, le chemin d’URL vulnérable était présent sur chaque instance de l’application.
Grafana Labs a reçu un rapport sur la vulnérabilité à la fin de la semaine dernière, le 3 décembre, et a proposé un correctif le même jour.
Le développeur a prévu une version client privée pour aujourd’hui et une version publique pour le 14 décembre.
PoC se propage sur Twitter et GitHub
Un deuxième rapport est arrivé hier, cependant, indiquant que les informations sur le problème ont commencé à se répandre, la confirmation venant lorsque la nouvelle du bug est apparue dans l’espace public.
Il n’a pas fallu longtemps pour que les détails techniques ainsi que les preuves de concept (PoC) exploitent le bug pour devenir disponibles sur Twitter et GitHub.
Étant donné que le bug signalé en privé était devenu un jour zéro divulgué, Grafana Labs a été contraint de publier le correctif :
- 2021-12-06 : Deuxième rapport sur la vulnérabilité reçu
- 2021-12-07 : Nous avons reçu des informations selon lesquelles la vulnérabilité a été divulguée au public, la transformant en un jour 0
- 2021-12-07 : Décision prise de libérer le plus rapidement possible
- 2021-12-07 : Sortie privée avec un délai de grâce réduit de 2 heures, pas le délai habituel d’une semaine
- 2021-12-07 : Diffusion publique
Maintenant suivi comme CVE-2021-43798, la faille a reçu un score de gravité de 7,5 et est toujours exploitable sur les serveurs sur site qui n’ont pas été mis à jour.
Les instances Grafana Cloud n’ont pas été impactées, le le développeur a dit aujourd’hui.
Selon des rapports publics, des milliers de serveurs Grafana sont exposés sur l’Internet public. Si la mise à jour d’une instance vulnérable n’est pas possible à temps, il est recommandé de rendre le serveur inaccessible depuis le Web public.