Plataforma
go
Componente
openobserve
Corregido en
0.8.1
Se ha descubierto una vulnerabilidad crítica en OpenObserve, una plataforma de observabilidad para logs, métricas y trazas. Esta falla permite a cualquier usuario autenticado dentro de una organización eliminar a otros usuarios, independientemente de sus roles, incluyendo administradores y usuarios con privilegios de Root. La vulnerabilidad afecta a versiones de OpenObserve hasta la 0.7.9 y se ha solucionado en la versión 0.8.0.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante comprometer la administración de la plataforma OpenObserve. Un usuario malintencionado podría eliminar cuentas de administrador, obteniendo control total sobre la organización y sus datos. Esto podría resultar en la pérdida de datos, interrupción del servicio y acceso no autorizado a información sensible. La capacidad de eliminar usuarios con roles de Root amplifica el riesgo, ya que estos roles suelen tener los permisos más altos dentro de la plataforma. Esta vulnerabilidad se asemeja a escenarios donde la falta de controles de acceso adecuados permite la escalada de privilegios y la toma de control de sistemas.
Esta vulnerabilidad ha sido publicada el 8 de febrero de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza crítica de la vulnerabilidad y su facilidad de explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear activamente los sistemas OpenObserve para detectar cualquier actividad anómala.
Organizations utilizing OpenObserve for observability and monitoring are at risk, particularly those with multiple users and a reliance on the platform for critical operational insights. Environments with shared hosting configurations or those that have not implemented robust access control policies are especially vulnerable, as a compromised low-privilege account could be leveraged to gain complete control.
• linux / server:
journalctl -u openobserve -g "user removal"• generic web:
curl -s -X DELETE "http://openobserve/api/{org_id}/users/{email_id}" | grep -i "success"• generic web:
grep -i "user removal" /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar OpenObserve a la versión 0.8.0 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda revisar y reforzar los controles de acceso dentro de la organización. Implementar la autenticación multifactor (MFA) para todos los usuarios, especialmente aquellos con roles de administrador, puede ayudar a prevenir el acceso no autorizado. Además, se debe auditar regularmente la actividad de los usuarios para detectar cualquier comportamiento sospechoso. Si se sospecha de una intrusión, se recomienda aislar la instancia de OpenObserve y realizar una investigación forense.
Actualice OpenObserve a la versión 0.8.0 o superior. Esta versión corrige la vulnerabilidad de autorización que permite a usuarios no autorizados eliminar a otros usuarios de la organización. La actualización evitará el acceso no autorizado y la posible interrupción de las operaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25106 es una vulnerabilidad crítica en OpenObserve ≤0.7.9 que permite a usuarios autenticados eliminar a otros usuarios, incluso administradores, comprometiendo la seguridad de la plataforma.
Si está utilizando OpenObserve en una versión anterior a 0.8.0, es vulnerable a esta vulnerabilidad. Revise su versión actual y actualice lo antes posible.
La solución es actualizar OpenObserve a la versión 0.8.0 o superior. Si la actualización no es posible de inmediato, implemente controles de acceso más estrictos y MFA.
Aunque no se han reportado explotaciones activas, la naturaleza crítica de la vulnerabilidad sugiere que podría ser objeto de ataques en el futuro. Monitoree sus sistemas.
Consulte el sitio web de OpenObserve o su canal de comunicación oficial para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.