Кибербезопасность: уязвимость в Grafana внесена в каталог активно эксплуатируемых уязвимостей CISA

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) добавило новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Речь идет о CVE-2021-43798 - критической уязвимости обхода путей в популярной платформе мониторинга Grafana. Решение принято на основании подтвержденных данных об активной эксплуатации данной уязвимости злоумышленниками в реальных атаках.

Детали уязвимости

CVE-2021-43798 представляет собой уязвимость типа path traversal (обход путей), которая позволяет злоумышленникам получать несанкционированный доступ к локальным файлам целевой системы. Уязвимость затрагивает Grafana - широко распространенную открытую платформу для мониторинга и наблюдения за ИТ-инфраструктурой. Согласно данным разработчиков, проблеме подвержены версии Grafana начиная с 8.0.0-beta1 вплоть до 8.3.0. Исключение составляют только патченные версии, в которых уязвимость была устранена.

Эксперты по кибербезопасности отмечают, что уязвимость активируется при обращении к определенному URL-пути в формате: <URL_хоста_Grafana>/public/plugins//, где представляет собой идентификатор любого установленного плагина. Именно через эту уязвимую точку злоумышленники могут осуществлять обход механизмов безопасности и получать доступ к конфиденциальным файлам на сервере.

Важно подчеркнуть, что облачный сервис Grafana Cloud никогда не подвергался данной уязвимости, поскольку инфраструктура облачного предложения была своевременно обновлена. Тем не менее, для организаций, использующих собственные развертывания Grafana, риски остаются значительными, особенно учитывая, что CISA классифицирует данный тип уязвимостей как частый вектор атак для злонамеренных киберакторов и отмечает их существенную опасность для федеральных информационных систем.

Уязвимости обхода путей традиционно относятся к категории высокорисковых, поскольку они часто позволяют злоумышленникам читать произвольные файлы в файловой системе сервера. В случае с Grafana это может привести к компрометации конфигурационных файлов, учетных данных, SSL-сертификатов и другой чувствительной информации, что в конечном итоге создает предпосылки для полного захвата контроля над системой.

Рекомендованные меры защиты включают немедленное обновление до патченных версий Grafana: 8.0.7, 8.1.8, 8.2.7 или 8.3.1. Разработчики выпустили эти исправления еще в декабре 2021 года, однако, как показывает практика, многие организации до сих пор не обновили свои системы, что и объясняет продолжающуюся активную эксплуатацию уязвимости.

Для тех случаев, когда немедленное обновление невозможно, специалисты предлагают временные меры смягчения, включающие настройку веб-приложений и систем обнаружения вторжений (IDS) для блокировки подозрительных запросов к уязвимому пути. Однако эти меры носят исключительно временный характер и не заменяют полноценного обновления.

Ситуация с CVE-2021-43798 демонстрирует характерную проблему современной кибербезопасности: даже когда исправления для уязвимостей доступны длительное время, многие организации затягивают с их применением, создавая благоприятные условия для киберпреступников. Особую озабоченность вызывает тот факт, что речь идет о платформе мониторинга, которая часто имеет доступ к критически важным компонентам инфраструктуры и содержит ценную информацию о состоянии ИТ-систем.

Активная эксплуатация данной уязвимости подтверждает необходимость более строгого соблюдения политик своевременного обновления программного обеспечения и реализации комплексных программ управления уязвимостями. Специалисты рекомендуют организациям не только следить за обновлениями безопасности, но и регулярно проводить аудит своих систем на предмет наличия известных уязвимостей, особенно тех, которые уже активно используются злоумышленниками в реальных атаках.

Детали уязвимости

Ссылки