Grafanaにおいて、データソースの作成権限を持つユーザーは、github.com/grafana/grafana内のすべてのデータソースをCRUD操作できます。
プラットフォーム
grafana
コンポーネント
github.com/grafana/grafana
修正版
9.5.7
10.0.12
10.1.8
10.2.5
10.3.4
9.5.7
CVE-2024-1442 は、Grafana においてデータソースの不正操作を許容する脆弱性です。データソースの作成権限を持つユーザーは、本来アクセスできないはずのすべてのデータソースをCRUD(作成、読み取り、更新、削除)操作を実行できてしまう可能性があります。この脆弱性は、Grafana のバージョン v8.5.0 より前、v10.0.0 前 v10.0.12、v10.1.0 前 v10.1.8、v10.2.0 前 v10.2.5、v10.3.0 前 v10.3.4 に影響を与えます。Grafana のバージョンを 9.5.7 以降にアップデートすることでこの脆弱性を修正できます。
影響と攻撃シナリオ
この脆弱性を悪用されると、攻撃者はデータソースの作成権限を持つユーザーになりすますことで、Grafana 環境内のすべてのデータソースを自由に操作できるようになります。これにより、機密データへの不正アクセス、データの改ざん、さらには Grafana インスタンスの制御権奪取といった深刻な被害が発生する可能性があります。攻撃者は、不正に作成したデータソースを通じて、Grafana の監視対象システムへのアクセスを確立し、内部ネットワークへの侵入を試みることも考えられます。この脆弱性は、Grafana を利用した監視システムの信頼性を大きく損なう可能性があります。
悪用の状況
この脆弱性は、CISA KEV カタログに登録されている可能性は低いですが、Grafana のデータソース管理機能の不備が原因であるため、注意が必要です。現時点で公開されている PoC は確認されていませんが、Grafana の利用者増加に伴い、悪用事例が報告される可能性も否定できません。NVD (National Vulnerability Database) は 2024年6月5日に公開されています。
リスク対象者翻訳中…
Organizations heavily reliant on Grafana for monitoring and data visualization are particularly at risk. This includes those with complex Grafana deployments involving numerous data sources and a large number of users. Shared hosting environments where multiple users share a Grafana instance are also vulnerable, as a compromised user could potentially affect all other users on the system.
検出手順翻訳中…
• linux / server: Examine Grafana logs for suspicious data source creation attempts by users without sufficient privileges. Use journalctl -u grafana to filter for relevant events.
• generic web: Monitor Grafana's access logs for unusual patterns of data source creation or modification requests. Look for requests originating from unexpected IP addresses or user agents.
• database (mysql, postgresql): If Grafana connects to a database, monitor the database logs for unauthorized queries or data modifications that could be linked to Grafana's data source configurations.
攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.21% (43% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 高 — 管理者または特権アカウントが必要。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 低 — 限定的な範囲でデータ変更可能。
- Availability
- 低 — 部分的または断続的なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
この脆弱性への対応として、まず Grafana のバージョンを 9.5.7 以降にアップデートすることを推奨します。アップデートが困難な場合は、データソースの作成権限を必要最小限のユーザーに制限する、またはデータソースのアクセス制御を強化するなどの対策を講じる必要があります。WAF (Web Application Firewall) を導入し、不正なデータソース操作のリクエストを検知・遮断することも有効です。また、Grafana のログを監視し、異常なデータソース操作の兆候を早期に発見することも重要です。アップデート後、Grafana の設定を確認し、データソースの権限設定が適切に行われていることを確認してください。
修正方法翻訳中…
Actualice Grafana a la versión 9.5.7 o superior, 10.0.12 o superior, 10.1.8 o superior, 10.2.5 o superior, o 10.3.4 o superior. Esto corrige la vulnerabilidad que permite a un usuario con permisos para crear fuentes de datos acceder a todas las fuentes de datos dentro de la organización. La actualización impedirá la creación de fuentes de datos con el UID establecido en *.
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2024-1442 — データソースの不正操作 Grafana において発生しましたか?
はい、CVE-2024-1442 は Grafana におけるデータソースの不正操作を許容する脆弱性です。データソースの作成権限を持つユーザーが、すべてのデータソースを CRUD 操作を実行できてしまう可能性があります。
CVE-2024-1442 に影響を受ける Grafana のバージョンはありますか?
はい、v8.5.0 より前、v10.0.0 前 v10.0.12、v10.1.0 前 v10.1.8、v10.2.0 前 v10.2.5、v10.3.0 前 v10.3.4 のバージョンが影響を受けます。
CVE-2024-1442 を修正するにはどうすればよいですか?
Grafana のバージョンを 9.5.7 以降にアップデートすることでこの脆弱性を修正できます。
CVE-2024-1442 は現在積極的に悪用されていますか?
現時点で公開されている PoC は確認されていませんが、悪用事例が報告される可能性も否定できません。
CVE-2024-1442 のための公式 Grafana アドバイザリはどこで入手できますか?
公式アドバイザリは Grafana のセキュリティアドバイザリページで確認できます。https://grafana.com/security