Команда Grafana предупреждает о критическом обходе аутентификации из-за интеграции с Azure AD
Команда Grafana предупреждает о критическом обходе аутентификации из-за интеграции с Azure AD. Фото: СС0
Grafana — это популярное приложение для аналитики и интерактивной визуализации с открытым исходным кодом. Оно интегрировано с широким спектром платформ и приложений для мониторинга.
Grafana Enterprise, премиум-версия приложения с дополнительными возможностями, используется такими известными организациями, как Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal и Sony.
Обнаруженная уязвимость захвата учетной записи CVE-2023-3128 получила оценку CVSS v3.1 9,4. Это означает её критическую опасность.
Ошибка вызвана тем, что Grafana аутентифицирует учетные записи Azure AD на основе адреса электронной почты, настроенного в соответствующем параметре «электронная почта профиля». Однако этот параметр не уникален для всех клиентов Azure AD, позволяя злоумышленникам создавать учетные записи Azure AD с тем же адресом электронной почты, что и законные пользователи Grafana, и использовать их для захвата учетных записей.
Из сообщения компании:
«Ошибка может привести к захвату учетной записи Grafana в обход проверки подлинности, когда Azure AD OAuth настроен с многопользовательским приложением Azure AD OAuth. В случае использования злоумышленник может получить полный контроль над учетной записью пользователя, включая доступ к личным данным клиентов и конфиденциальной информации».
Эта проблема затрагивает все развертывания Grafana, настроенные на использование Azure AD OAuth для проверки подлинности пользователей с помощью мультитенантного приложения Azure и без ограничений на то, какие группы пользователей могут проходить проверку подлинности (через конфигурацию «разрешенные_группы»).
Уязвимость присутствует во всех версиях Grafana, начиная с 6.7.0 и выше, но поставщик программного обеспечения выпустил исправления для веток 8.5, 9.2, 9.3, 9.5 и 10.0.
Рекомендуемые версии для обновления для решения проблемы безопасности:
- Grafana 10.0.1 или новее
- Grafana 9.5.5 или новее
- Grafana 9.4.13 или новее
- Grafana 9.3.16 или новее
- Grafana 9.2.20 или новее
- Grafana 8.5.27 или новее
Сервис Grafana Cloud уже обновлен до последних версий, так как поставщик скоординировал свои действия с облачными провайдерами, такими как Amazon и Microsoft, которые получили раннее уведомление о проблеме, находящейся под эмбарго.
Для тех, кто не может обновить свои экземпляры Grafana до безопасной версии, в бюллетене предлагаются следующие два решения:
- Зарегистрируйте одно клиентское приложение в Azure AD, что должно предотвратить любые попытки входа в систему со стороны внешних клиентов (людей за пределами организации).
- Добавьте конфигурацию «allowed_groups» в параметры Azure AD, чтобы ограничить попытки входа только членами группы из белого списка и автоматически отклонить все попытки с использованием произвольного адреса электронной почты.
Из сообщения компании:
«Бюллетень Grafana также содержит рекомендации по устранению проблем, которые могут возникнуть в конкретных сценариях использования из-за изменений, внесенных последним патчем, поэтому обязательно прочитайте рекомендации, если вы получаете сообщение об ошибке «Сбой синхронизации пользователя» или «Пользователь уже существует».
Startpack подготовил список инструментов для эффективного планирования оперативной деятельности компании. Сервисы позволяют провести планирование рабочего времени, распределить трудовую нагрузку, провести её мониторинг. С помощью инструментов можно начислять заработную плату, осуществлять постановку задач сотрудников и контроль их выполнения. Продукты раздела представляют собой веб-сервисы и приложения. Их можно развернуть в облаке, на сервисе или локальном ПК.
Статьи по теме
Упомянутый сервис
14418
Комментариев пока не было