脆弱性の説明
Grafana は、クロスプラットフォームのオープンソース データ視覚化 Web アプリケーション プラットフォームです。Azure AD は、Microsoft が提供するクラウド認証およびアクセス管理サービスです。
Azure AD では、複数のユーザーが同じメール アドレスを持つことができます。攻撃者は、ターゲットの Grafana アカウントと同じ電子メール アドレスを持つ悪意のあるアカウントを作成し、マルチテナントをサポートするように Azure AD でそのアカウントを構成する可能性があります。
Grafana が認証に Azure AD を使用する場合、Azure AD テナント メールボックスの一意性が検証されないため、攻撃者は認証を通じてターゲット ユーザーの Grafana アカウントを乗っ取ることができます。
| 脆弱性名 | Grafana Azure AD 環境の認証バイパスの脆弱性 |
|---|---|
| 脆弱性の種類 | ハードコードされた資格情報を使用する |
| 発見時間 | 2023/6/25 |
| 脆弱性の範囲 | - |
| MPS番号 | MPS-rsc9-y5u2 |
| CVE番号 | CVE-2023-3128 |
| CNVD番号 | - |
影響範囲
grafana@ はすべてのバージョンに影響します
グラファナ/グラファナ@[9.5.0, 9.5.5)
グラファナ/グラファナ@[9.4.0, 9.4.13)
グラファナ/グラファナ@[9.3.0, 9.3.16)
グラファナ/グラファナ@[9.2.0, 9.2.29)
グラファナ/グラファナ@[8.5.0, 8.5.27)
グラファナ/グラファナ@[10.0.0, 10.0.1)
修理計画
Azure AD 構成に allowed_groups 構成を追加する
コンポーネント grafana/grafana をバージョン 9.5.5 以降にアップグレードします。
コンポーネント grafana/grafana をバージョン 9.4.13 以降にアップグレードします。
コンポーネント grafana/grafana をバージョン 9.3.16 以降にアップグレードします。
コンポーネント grafana/grafana をバージョン 9.2.29 以降にアップグレードします。
コンポーネント grafana/grafana をバージョン 8.5.27 以降にアップグレードします。
Azure AD にシングルテナント アプリケーションを登録する
参考リンク
https://www.oscs1024.com/hd/MPS-rsc9-y5u2
https://nvd.nist.gov/vuln/detail/CVE-2023-3128
http:// https://github.com/grafana/grafana/commit/4821175d40ce49c448c5545988b7f8116566b8e1
マーフィーセキュリティについて
Murphy Security は、プロフェッショナルなソフトウェア サプライ チェーン セキュリティ管理を提供するテクノロジー企業です。コア チームは、Baidu、Huawei、Wuyun などの企業から構成されています。同社は、顧客に完全なソフトウェア サプライ チェーン セキュリティ管理プラットフォームを提供し、SBOM を中心としたソフトウェア ライフ サイクル全体のセキュリティ管理を提供します。サプライチェーンの資産識別管理、リスク検出、セキュリティ管理、ワンキー修理に至るまでの完全な制御機能を顧客に提供します。
オープンソース プロジェクト: https://github.com/murphysecurity/murphysec/?sf=qbyj
この製品は、IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus などの多数のツールとのシームレスな統合を含め、既存の開発プロセスのさまざまなツールと非常に低コストで統合できます。
無料のコードセキュリティ検出ツール: https://www.murphysec.com/?sf=qbyj
無料のインテリジェンスサブスクリプション: https://www.oscs1024.com/cm/?sf=qbyj
