Açık kaynak monitoring platformu Grafana’da, CVSS v3.1 puanı 9.9 olan kritik bir güvenlik açığı (CVE-2024-9264) keşfedildi. Bu zafiyet, saldırganların etkilenen sistemlerde rastgele kod çalıştırmasına olanak tanıyabilir ve sistemin tamamen ele geçirilmesine yol açabilir.
Güvenlik açığı, “SQL Expressions” adı verilen bir özellikleten kaynaklanıyor. Bu özellik, kullanıcıların veri kaynaklarını SQL kullanarak işlemelerine olanak tanıyor.
Bu zafiyet, saldırganların SQL sorguları hazırlayıp, sistem komutları çalıştırmasına veya sunucudaki hassas dosyalara erişmesine izin verebiliyor. Daha da endişe verici olan, “Viewer” yetkisine sahip herhangi bir Grafana kullanıcısının bu saldırıyı gerçekleştirebilecek olması.
Grafana Labs, tüm etkilenen Grafana 11 sürümleri için yamalı yayınladı. Kullanıcıların acilen bu sürümlere geçmeleri öneriliyor:
- 11.0.5+security-01 (security fix only)
- 11.1.6+security-01 (security fix only)
- 11.2.1+security-01 (security fix only)
- 11.0.6+security-01 (includes latest features and security fix)
- 11.1.7+security-01 (includes latest features and security fix)
- 11.2.2+security-01 (includes latest features and security fix)
Grafana Labs, “Eğer kurulumunuz bu zafiyetten etkilenmişse, derhal yamalı bir Grafana sürümüne güncellemenizi şiddetle tavsiye ediyoruz.” açıklamasını yaptı.
Geçici bir önlem olarak, Grafana Labs, DuckDB binary dosyasının sistem PATH’inden kaldırılmasını veya tamamen kaldırılmasını öneriyor.