一、漏洞概述
近日,绿盟科技CERT监测到Grafana身份验证绕过漏洞(CVE-2023-3128)。Azure AD可支持多用户拥有相同的电子邮件地址,在配置Azure AD支持多用户时,未经身份验证的攻击者可通过创建恶意电子邮件账户请求来利用该漏洞,由于Grafana根据电子邮件地址未对Azure AD邮箱帐户进行唯一性身份验证,导致攻击者可绕过身份验证接管目标用户的Grafana账户,攻击者控制用户帐户后可访问敏感数据信息。CVSS评分9.4,请相关用户尽快采取措施进行防护。
Grafana是一个开源分析和数据可视化平台,通常用于可视化和分析各种实时和历史时间序列数据,提供与各种监控平台和应用程序的广泛集成选项。Grafana已经成为用于展示、监控和分析数据的常用工具,特别是在大规模的分布式系统和云端应用中。
参考链接:
https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
二、影响范围
受影响版本
- Grafana >= 6.7.0
不受影响版本
- Grafana >= 10.0.1
- Grafana >= 9.5.5
- Grafana >= 9.4.13
- Grafana >= 9.3.16
- Grafana >= 9.2.20
- Grafana >= 8.5.27
三、漏洞防护
- 官方升级
目前官方已发布安全版本修复该漏洞,建议受影响用户尽快升级防护:
https://grafana.com/grafana/download
- 缓解措施
- 将allowed_groups配置添加到Azure AD配置中,确保攻击者无法使用任意电子邮件。
- 在Azure AD中注册单租户应用程序,防止外部租户的任何登录尝试。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。