Segurança do Grafana: Correção Crítica para a Vulnerabilidade CVE-2024-9264

Foram lançadas atualizações de segurança para as versões Grafana 11.0.x, 11.1.x e 11.2.x, que incluem uma correção para a vulnerabilidade CVE-2024-9264, classificada como de severidade crítica. Esta falha de segurança introduz a possibilidade de injeção de comandos e inclusão de arquivos locais (LFI) via expressões SQL. A versão 10.x do Grafana não é afetada por essa vulnerabilidade.

Observação: Por precaução, estamos lançando dois conjuntos de patches de segurança que contêm a correção para esta vulnerabilidade.

Instruções de Atualização

• Para usuários que desejam apenas a correção de segurança, recomendamos a atualização para uma das versões abaixo:
  • Release 11.0.5+security-01
  • Release 11.1.6+security-01
  • Release 11.2.1+security-01
• Para usuários que preferem atualizar para a versão mais recente do Grafana (lançada em 1º de outubro) e aplicar a correção de segurança, as opções são:
  • Release 11.0.6+security-01
  • Release 11.1.7+security-01
  • Release 11.2.2+security-01

Detalhes da Vulnerabilidade (CVE-2024-9264)

Esta vulnerabilidade foi descoberta por um engenheiro da Grafana Labs e permite a execução remota de código (RCE). Ela foi introduzida na versão 11 do Grafana, através de um recurso experimental chamado Expressões SQL, que permite a pós-processamento das consultas de fontes de dados por meio de execuções SQL. No entanto, essas consultas SQL não foram devidamente sanitizadas, resultando em injeção de comandos e inclusão de arquivos locais.

Para que a vulnerabilidade seja explorada, é necessário que o binário DuckDB esteja acessível no ambiente PATH do processo do Grafana. O DuckDB não é incluído por padrão no Grafana, portanto, a vulnerabilidade só é explorável se o DuckDB estiver instalado e no PATH.

A pontuação de gravidade CVSS v3.1 para essa falha é 9.9 (Crítica).

Impacto

Essa vulnerabilidade pode permitir que um atacante acesse qualquer arquivo no servidor, incluindo senhas não criptografadas. Qualquer usuário do Grafana com permissões de Visualizador ou superiores pode explorar essa falha.

Soluções e Mitigações

Se sua instância está vulnerável, recomendamos fortemente a atualização imediata para uma das versões corrigidas. Como mitigação, é possível remover o binário DuckDB do PATH ou excluí-lo completamente do sistema, já que nenhuma outra funcionalidade do Grafana depende desse binário.

Versões Impactadas

• Todas as versões Grafana >= v11.0.0 estão afetadas.

Linha do Tempo e Revisão Pós-Incidente

• 27/02/2024 – PR aprovado, adicionando Expressões SQL ao Grafana.
• 26/09/2024 15:54 – Vulnerabilidade descoberta pela equipe interna.
• 26/09/2024 18:34 – Confirmada a exploração de LFI na API.
• 26/09/2024 19:39 – Identificado o potencial para RCE.
• 27/09/2024 13:03 – Conclusão do lançamento dos patches de segurança para o Grafana Cloud.
• 30/09/2024 02:12 – Patches de segurança finalizados, removendo completamente o recurso de Expressões SQL.
• 18/10/2024 02:18 – Lançamento público da correção.

Relatório de Vulnerabilidades de Segurança

Se você acredita ter encontrado uma vulnerabilidade de segurança, visite nossa página de Relatar Problema de Segurança para saber como enviar seu relatório. A equipe de segurança da Grafana Labs entrará em contato com as próximas etapas e manterá você informado sobre o progresso.

Importante: Solicitamos que a vulnerabilidade não seja divulgada publicamente até que seja corrigida e anunciada.

Anúncios de Segurança

Mantemos uma categoria de segurança em nosso blog, onde sempre postamos resumos, detalhes de remediação e mitigação para qualquer patch relacionado à segurança. Você também pode se inscrever no nosso feed RSS para receber atualizações.