CVE-2023-3128: vulnerabilidade de aquisição de conta do Grafana
Uma vulnerabilidade de segurança recente foi descoberta no Grafana, uma das principais plataformas de código aberto para análise e visualização. A falha de segurança, designada como CVE-2023-3128 e classificada como altamente crítica 9,4 na escala CVSS, tem o potencial de permitir que um invasor ignore os procedimentos de autenticação e assuma a conta de um usuário.
Em essência, o CVE-2023-3128 é uma vulnerabilidade de controle de conta ou desvio de autenticação no Grafana. Essa plataforma de código aberto oferece ferramentas fáceis de usar e visualmente atraentes para análise e visualização de dados, atendendo a uma ampla variedade de usuários, desde projetos de pequena escala até implantações massivas em nível empresarial.
No centro dessa vulnerabilidade está o processo de validação do Grafana. Especificamente, quando usado em conjunto com o OAuth do Azure Active Directory (Azure AD), o Grafana valida as contas do Azure AD com base em sua declaração de email. Aqui reside o problema. O campo de email do perfil não é exclusivo entre os locatários do Azure AD, abrindo a possibilidade de um locatário do Azure AD representar outro usando um email idêntico.
As possíveis ramificações dessa vulnerabilidade são vastas e preocupantes. Os invasores que exploram essa falha de segurança podem obter controle total sobre a conta de um usuário, abrindo as portas para dados confidenciais do cliente e outras informações críticas.
A vulnerabilidade afeta principalmente as implantações do Grafana utilizando o Azure AD OAuth configurado com um aplicativo multilocatário do Azure AD OAuth e sem uma configuração allow_groups. Se você estiver executando o Grafana versões 6.7.0 ou posterior, é hora de agir imediatamente.
A equipe do Grafana respondeu rapidamente a essa preocupação premente e corrigiu a vulnerabilidade nas versões 10.0.1, 9.5.5, 9.4.13, 9.3.16, 9.2.20 e 8.5.27. Se sua instância do Grafana pertence a essas versões ou posteriores, você está protegido.
Mas e se uma atualização não for viável imediatamente? Felizmente, existem soluções de mitigação disponíveis. Primeiro, adicionar uma configuração allow_groups à configuração do Azure AD garantirá que um usuário que está entrando também pertença a um grupo no Azure AD. Essa medida reduz efetivamente o risco de um invasor usar um e-mail arbitrário.
Como alternativa, registrar um único aplicativo de locatário no Azure AD elimina efetivamente o vetor de ataque, pois isso evita a oportunidade de representação entre locatários.
12 thoughts on “CVE-2023-3128: vulnerabilidade de aquisição de conta do Grafana”
Comments are closed.