Grafana, Azure Active Directory kimlik doğrulaması kullanan tüm Grafana hesaplarının ele geçirilmesine izin veren ve bypass authentication neden olan bir güvenlik açığını gidermek için güvenlik düzeltmeleri yayınladı.
Grafana, çeşitli izleme platformları ve uygulamalarıyla kapsamlı entegrasyon seçenekleri sunan popüler bir açık kaynaklı analitik ve etkileşimli görselleştirme uygulamasıdır.
Grafana Enterprise ise ek yeteneklere sahip olan premium sürümüdür ve Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal ve Sony gibi tanınmış kuruluşlar tarafından kullanılmaktadır.
CVE-2023-3128 olarak adlandırılan ve kritik önem derecesinde değerlendirilen bu account takeover güvenlik açığı, Grafana’nın Azure AD hesaplarının kimliğini doğrularken ilişkili ‘profil e-postası’ ayarında yapılandırılan e-posta adresine dayanır. Ancak bu ayar, tüm Azure AD tenantları arasında benzersiz değildir ve tehdit aktörlerinin meşru Grafana kullanıcılarıyla aynı e-posta adresine sahip Azure AD hesapları oluşturmasına ve bunları hesapları ele geçirmek için kullanmasına olanak tanır.
Grafana’nın yayınladığı bir bildiriye göre, “Bu, Azure AD OAuth çok tenantlı bir Azure AD OAuth uygulamasıyla yapılandırıldığında bir Grafana hesabı devralma ve kimlik doğrulama atlamasını etkinleştirebilir” ifadesi yer almaktadır.
Saldırgan, bu güvenlik açığından yararlandığı takdirde kullanıcının hesabının tam kontrolünü ele geçirebilir ve özel müşteri verilerine ve hassas bilgilere erişebilir.
Bu güvenlik açığı, Grafana’nın 6.7.0 ve sonraki tüm sürümlerini etkilemektedir. Ancak yazılım sağlayıcısı, 8.5, 9.2, 9.3, 9.5 ve 10.0 için güvenlik düzeltmeleri yayınlamıştır.
Güvenlik sorununu gidermek için tavsiye edilen sürümler şunlardır:
Grafana 10.0.1 veya daha yeni sürümler
Grafana 9.5.5 veya daha yeni sürümler
Grafana 9.4.13 veya daha yeni sürümler
Grafana 9.3.16 veya daha yeni sürümler
Grafana 9.2.20 veya daha yeni sürümler
Grafana 8.5.27 veya daha yeni sürümler
Grafana Cloud ise bulut sağlayıcıları olan Amazon ve Microsoft gibi firmalarla koordineli olarak en son sürümlere güncellenmiştir.
Grafana, güvenli bir sürüme yükseltemeyen kullanıcılar için aşağıdaki iki önlemi önermektedir:
- Azure AD’ye tek tenantlı bir uygulama kaydederek dış tenantlardan (kuruluş dışındaki kişiler) gelen oturum açma girişimlerini engellemek.
- Azure AD ayarlarına bir “allowed_groups” yapılandırması ekleyerek, beyaz listedeki bir grup üyesi olmayan kullanıcıların oturum açma girişimlerini otomatik olarak reddetmek.
- Grafana’nın bildirisi ayrıca, en son düzeltmenin getirdiği değişiklikler nedeniyle belirli kullanım senaryolarında ortaya çıkabilecek sorunların üstesinden gelmek için rehberlik sağlamaktadır. Bu nedenle, “kullanıcı senkronizasyonu başarısız oldu” veya “kullanıcı zaten var” gibi hatalarla karşılaşırsanız, ilgili rehberi okumanız önerilir.