Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Grafana en integración con Azure AD, que permitiría a un atacante realizar omisión de autenticación y obtener acceso no autorizado a cuentas de usuarios que utilicen Azure Active Directory.
La vulnerabilidad identificada como CVE-2023-3128, de severidad “Crítica”, con puntuación asignada de 9.4. Esta vulnerabilidad se debe a una falla de autenticación utilizando la dirección de correo electrónico configurada en las cuentas de Azure AD asociadas al usuario de Grafana. Esto permitiría a un atacante en un entorno con configuración de Azure AD OAuth con una aplicación multiusuario, realizar omisión de autenticación utilizando la información de correo electrónico del Azure Active Directory asociada a la cuenta de las víctimas para suplantarla y obtener acceso no autorizado a su cuenta en el sistema afectado.
Las versiones afectadas son:
- Grafana, versión 6.7.0 y posteriores.
- Grafana, versiones 8.5.x previas a 8.5.27.
- Grafana, versiones 9.2.x previas a 9.2.20.
- Grafana versiones 9.3.x previas a 9.3.16.
- Grafana versiones 9.5.x previas a 9.5.5.
- Grafana versiones 10.0.x previas a 10.0.1.
Recomendamos acceder a las actualizaciones correspondientes proporcionada por el fabricante en los siguientes enlaces:
- Grafana, versión 8.5.27
- Grafana, versión 9.2.20
- Grafana, versión 9.3.16
- Grafana, versión 9.4.13
- Grafana, versión 9.5.5
- Grafana, versión 10.0.1
Grafana Cloud ya se ha actualizado a las últimas versiones, ya que el proveedor se ha comunicado con proveedores de la nube como Amazon y Microsoft, que recibieron una notificación temprana sobre el problema bajo embargo.
Adicionalmente, se recomienda los siguientes pasos de mitigación para aquellos usuarios que no pueden actualizar sus instancias de Grafana a una versión segura:
- Registrar una aplicación de usuario único en Azure AD para evitar cualquier intento de inicio de sesión de usuarios externos (personas ajenas a la organización).
- Agregar una configuración de «allowed_groups» a la configuración de Azure AD para limitar los intentos de inicio de sesión a los miembros de un grupo de la lista blanca, por lo tanto, esto rechaza automáticamente todos los intentos con un correo electrónico arbitrario.
Referencias:
- https://www.bleepingcomputer.com/news/security/grafana-warns-of-critical-auth-bypass-due-to-azure-ad-integration/
- https://nvd.nist.gov/vuln/detail/CVE-2023-3128
- https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
- https://grafana.com/grafana/download/8.5.27/?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/9.2.20/?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/9.3.16/?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/9.4.13/?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/9.5.5/?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/10.0.1/?pg=blog&plcmt=body-txt