ANECT a.s.Grafana a zranitelnost CVE-2025-4123 umožňující převzetí účtu
Zpět na blogVíce než 46 000 instancí open-source platformy Grafana, která se běžně používá pro monitoring a vizualizaci metrik infrastruktury a aplikací, byla minimálně do poloviny června 2025 zranitelných vůči kritické chybě umožňující převzetí uživatelského účtu. Tato zranitelnost, označená jako CVE-2025-4123, byla odhalena výzkumníkem Alvarem Baladou a opravená 21. května, přesto je míra adopce bezpečnostní záplaty velmi nízká.
Podle analýzy společnosti OX Security zneužití této chyby kombinuje client-side path traversal s open redirect zranitelností. Útočníci mohou vytvořit škodlivý odkaz, který uživatele přesměruje na podvržený plugin hostovaný na útočníkově doméně. Po kliknutí na takový odkaz může dojít ke spuštění škodlivého JavaScriptu v prohlížeči oběti, což vede k převzetí aktivní uživatelské relace, změně přihlašovacích údajů, přístupu k interním zdrojům skrze SSRF (pokud je nainstalován plugin Image Renderer) nebo zneužití e-mailových adres k resetování hesla.
Chyba nevyžaduje autentizaci a funguje i při zapnutém anonymním přístupu. Výchozí nastavení Content Security Policy (CSP) bohužel není dostatečné k zabránění zneužití kvůli omezením na straně klienta.
OX Security identifikovala celkem 128 864 instancí Grafany dostupných z internetu, z nichž více než 36 % (46 506 instancí) je stále zranitelných. To vytváří značnou plochu pro potenciální útoky – zejména ve chvíli, kdy se zneužití dá automatizovat a není nutné mít přístupové údaje.
Tato situace zdůrazňuje nutnost včasného aktualizování systémů a důkladného řízení přístupů a expozice monitorovacích nástrojů, které bývají často podceňovanou částí IT infrastruktury.
Správci systémů by měli bezodkladně aktualizovat své Grafana instance na následující verze obsahující bezpečnostní opravu: 10.4.18+security-01, 11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01, 11.5.4+security-01, 11.6.1+security-01, 12.0.0+security-01.
Kromě toho je vhodné omezit dostupnost Grafany pouze na interní sítě, zkontrolovat aktivní pluginy, omezit anonymní přístup a zvážit nasazení webového aplikačního firewallu (WAF) pro detekci a blokaci škodlivých požadavků.
Zdroje: OX Security, bleepingcomputer.com
Zdroj ilustračního obrázku: vygenerováno pomocí AI
26. 6. 2025