Grafana a publié des correctifs de sécurité pour plusieurs versions de son application, corrigeant une vulnérabilité qui permet aux attaquants de contourner l’authentification et de prendre le contrôle de tout compte Grafana qui utilise Azure Active Directory pour l’authentification.

Grafana est une application d’analyse et de visualisation interactive open source largement utilisée qui offre des options d’intégration étendues avec une large gamme de plates-formes et d’applications de surveillance.

Grafana Enterprise, la version premium de l’application avec des fonctionnalités supplémentaires, est utilisée par des organisations bien connues telles que Wikimedia, Bloomberg, JP Morgan Chase, eBay, PayPal et Sony.

La vulnérabilité de prise de contrôle de compte découverte est identifiée comme CVE-2023-3128 et a reçu un score CVSS v3.1 de 9,4, lui attribuant une gravité critique.

Le bogue est dû au fait que Grafana authentifie les comptes Azure AD en fonction de l’adresse e-mail configurée dans le paramètre « e-mail de profil » associé. Cependant, ce paramètre n’est pas unique pour tous les locataires Azure AD, ce qui permet aux pirates de créer des comptes Azure AD avec la même adresse e-mail que les utilisateurs Grafana légitimes et de les utiliser pour pirater des comptes.

« Cela peut permettre une prise de contrôle de compte Grafana et un contournement d’authentification lorsqu’Azure AD OAuth est configuré avec une application Azure AD OAuth mutualisée », lit l’avis de Grafana.

« En cas d’exploitation, l’attaquant peut obtenir le contrôle total du compte d’un utilisateur, y compris l’accès aux données privées des clients et aux informations sensibles. »

Grafana cloud déjà patché
Le problème affecte tous les déploiements Grafana configurés pour utiliser Azure AD OAuth pour l’authentification des utilisateurs avec une application Azure mutualisée et sans restrictions sur les groupes d’utilisateurs qui peuvent s’authentifier (via la configuration « allowed_groups »).

La vulnérabilité est présente sur toutes les versions de Grafana à partir de 6.7.0 et versions ultérieures, mais le fournisseur de logiciels a publié des correctifs pour les branches 8.5, 9.2, 9.3, 9.5 et 10.0.

Les versions recommandées vers lesquelles mettre à niveau pour résoudre le problème de sécurité sont :

  • Grafana 10.0.1 or later
  • Grafana 9.5.5 or later
  • Grafana 9.4.13 or later
  • Grafana 9.3.16 or later
  • Grafana 9.2.20 or later
  • Grafana 8.5.27 or later

Grafana Cloud a déjà été mis à niveau vers les dernières versions, car le fournisseur s’est coordonné avec des fournisseurs de cloud comme Amazon et Microsoft, qui ont reçu une notification précoce du problème sous embargo.

Pour ceux qui ne peuvent pas mettre à niveau leurs instances Grafana vers une version sécurisée, le bulletin suggère les deux mesures d’atténuation suivantes :

  • Enregistrez une application à locataire unique dans Azure AD, ce qui devrait empêcher toute tentative de connexion de locataires externes (personnes extérieures à l’organisation).
  • Ajoutez une configuration « allowed_groups » aux paramètres Azure AD pour limiter les tentatives de connexion aux membres d’un groupe sur liste blanche, rejetant ainsi automatiquement toutes les tentatives à l’aide d’un e-mail arbitraire.

Le bulletin de Grafana comprend également des conseils pour traiter les problèmes qui peuvent survenir dans des scénarios d’utilisation spécifiques en raison des modifications introduites par le dernier correctif, alors assurez-vous de lire l’avis si vous obtenez des erreurs « échec de la synchronisation de l’utilisateur » ou « l’utilisateur existe déjà ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *