威胁研究正文

Grafana任意文件读取漏洞(0day)风险通告,腾讯安全已支持检测防御

2021-12-07 08:09:12

腾讯安全注意到一个Grafana 任意文件读取漏洞(CVE-2021-43798),该漏洞可能导致信息泄露,腾讯安全已支持检测防御该漏洞。

腾讯安全注意到一个Grafana 任意文件读取漏洞(CVE-2021-43798),该漏洞可能导致信息泄露,腾讯安全产品已支持检测防御该漏洞。

 

漏洞描述:

2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,可任意读取系统文件,Grafana的任意插件都可以触发此漏洞。官方已于12月7日发布版本更新,修改该高危漏洞。

 

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。

 

腾讯安全专家建议受影响的客户尽快采取措施,防止攻击者利用。

 

漏洞编号:CVE-2021-43798


漏洞等级:

高危,漏洞可导致信息泄露


漏洞状态:

漏洞详情

POC

EXP

在野利用

已公开

已知

已知

已存在

 

受影响的版本:

Grafana 8.x 系列


12月7日,官方发布更新版本,以修复该漏洞。


腾讯安全专家建议受影响的客户尽快升级到Grafana 8.3.1、8.2.7、8.1.8 和 8.0.7 版本。

补丁下载链接:

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/

 

腾讯安全网络空间测绘:

腾讯安全网络空间测绘数据显示,Grafana系列组件在全球应用广泛,美国占比最高(27.42%)、其次是德国(14.59%)、中国(9.7%)。在中国大陆地区,浙江、北京、上海、广东四省市占比超过78%。

{xunruicms_img_title}

 

漏洞复现与验证:

腾讯安全专家已第一时间完成对该漏洞的复现验证

{xunruicms_img_title}


漏洞修复或缓解建议:

1、受影响的客户可使用安全组等访问控制措施,设置Grafana仅对可信白名单地址开放临时缓解该漏洞;

2、建议Grafana用户尽快升级到最新版本。


腾讯安全解决方案:

腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在Grafana任意文件读取漏洞;

腾讯T-Sec高级威胁检测系统(NTA,御界)、腾讯T-Sec Web应用防火墙均已升级,支持检测、或拦截Grafana 任意文件读取漏洞的攻击利用。 


时间线:

2021年12月7日,腾讯安全发布Grafana 任意文件读取漏洞(当时为0day状态)风险通告;腾讯安全旗下安全产品同步提供漏洞检测防御能力。

2021年12月8日,官方发布版本升级,修复漏洞,并确认CVE编号为CVE-2021-43798

2021年12月8日,腾讯安全发布风险通告,建议受影响的用户尽快升级到最新版本。

 

参考链接:

https://twitter.com/hacker_/status/1467880514489044993

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

在线咨询

方案定制