Grafana advierte sobre la omisión de autenticación crítica debido a la integración de Azure AD
3 min readGrafana ha lanzado parches de seguridad para varias versiones de su aplicación, corrigiendo una vulnerabilidad que permite a los atacantes eludir la autenticación y tomar el control de cualquier cuenta de Grafana que use Azure Active Directory para la autenticación.
Grafana es una aplicación de visualización y análisis interactivo de código abierto ampliamente utilizada que ofrece amplias opciones de integración con una amplia gama de plataformas y aplicaciones de monitoreo.
Grafana Enterprise, la versión premium de la aplicación con funciones adicionales, es utilizada por organizaciones conocidas como Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal y Sony.
La vulnerabilidad de apropiación de cuenta descubierta se rastrea como CVE-2023-3128 y recibió un puntaje CVSS v3.1 de 9.4, calificándolo como crítico.
El error se debe a que Grafana autentica las cuentas de Azure AD en función de la dirección de correo electrónico configurada en la configuración de “correo electrónico de perfil” asociada. Sin embargo, esta configuración no es única para todos los inquilinos de Azure AD, lo que permite a los piratas informáticos crear cuentas de Azure AD con la misma dirección de correo electrónico que los usuarios legítimos de Grafana y usarlas para secuestrar cuentas.
“Esto puede habilitar la toma de control de la cuenta de Grafana y la omisión de la autenticación cuando Azure AD OAuth está configurado con una aplicación Azure AD OAuth de múltiples inquilinos”, se lee. Reseña de Grafana.
“Si se explota, el atacante puede obtener el control total de la cuenta de un usuario, incluido el acceso a datos privados del cliente e información confidencial”.
Nube de Grafana ya parcheada
El problema afecta a todas las implementaciones de Grafana configuradas para usar Azure AD OAuth para la autenticación de usuarios con una aplicación de Azure de varios inquilinos y sin restricciones sobre qué grupos de usuarios pueden autenticarse (a través de la configuración “allowed_groups”).
La vulnerabilidad está presente en todas las versiones de Grafana desde la 6.7.0 y posteriores, pero el proveedor de software ha lanzado parches para las ramas 8.5, 9.2, 9.3, 9.5 y 10.0.
Las versiones recomendadas para actualizar para resolver el problema de seguridad son:
- Grafana 10.0.1 o posterior
- Grafana 9.5.5 o posterior
- Grafana 9.4.13 o posterior
- Grafana 9.3.16 o posterior
- Grafana 9.2.20 o posterior
- Grafana 8.5.27 o posterior
Grafana Cloud ya se actualizó a las últimas versiones, ya que el proveedor se coordinó con proveedores de la nube como Amazon y Microsoft, quienes recibieron una notificación temprana del problema embargado.
Para aquellos que no pueden actualizar sus instancias de Grafana a una versión segura, el boletín sugiere las siguientes dos mitigaciones:
- Registre una aplicación de inquilino único en Azure AD, lo que debería evitar los intentos de inicio de sesión de inquilinos externos (personas ajenas a la organización).
- Agregue una configuración de “grupos_permitidos” a la configuración de Azure AD para limitar los intentos de inicio de sesión a los miembros de un grupo incluido en la lista blanca y, por lo tanto, rechazar automáticamente todos los intentos con un correo electrónico arbitrario.
El boletín de Grafana también incluye consejos para tratar los problemas que pueden surgir en escenarios de uso específicos debido a los cambios introducidos por la revisión más reciente, así que asegúrese de leer el aviso si recibe errores de “falta al completar la sincronización del usuario” o “el usuario ya existe”. “.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.
