首页 网络安全 正文
  • 本文约2222字,阅读需11分钟
  • 312
  • 0

Grafana SQL表达式远程代码执行漏洞CVE-2024-9264

摘要

栋科技漏洞库关注到格拉法纳实验室2024年10月17日推出修复11.0.x、11.1.x和11.2.x的补丁版本,其中包含CVE-2024-9264的修复程序。

Grafana是一个开源平台,是由Grafana Labs公司推出的系统监测(System Monitoring)工具,专门用于运行时监控、指标分析和可视化。

自2014年首次发布以来,Grafana这一监控仪表系统迅速成为开发者和系统管理员用于监控云服务、虚拟机和物理服务器性能的首选工具。

一、基本情况

Grafana设计之初就考虑到与多种数据源的兼容性,包括但不限于Prometheus、InfluxDB、Elasticsearch、MySQL、PostgreSQL等产品。

Grafana提供丰富图表库,包括时序数据图、柱状图、饼图等多种类型,使其能展示各种指标数据,用户可轻松实现数据实时监控分析。

Grafana SQL表达式远程代码执行漏洞CVE-2024-9264

栋科技漏洞库关注到格拉法纳实验室2024年10月17日推出修复11.0.x、11.1.x和11.2.x的补丁版本,其中包含CVE-2024-9264的修复程序。

二、漏洞分析

Grafana Labs工程师发现 Grafana 11 中引入的RCE(远程代码执行)漏洞,该漏洞通过SQL表达式引入,以用于访问主机上的任何文件。

该漏洞被追踪为CVE-2024-9264,CVSSv3评分高达9.9,任何拥有查看者或更高权限的Grafana用户都能够执行此攻击,因此被列为严重。

这是一个在Grafana中引入的关键性安全漏洞,通过SQL表达式进行命令注入和本地文件包含(LFI),包括这些文件中的任何未加密密码。

该功能允许通过执行一个或多个 SQL 查询来对数据源查询输出然后进行后处理,它通过将查询和数据传递到 DuckDB CLI 来实现此目的。

DuckDB CLI 针对 DataFrame 数据执行SQL,这些SQL查询未完全清理,从而导致命令注入和本地文件包含漏洞,其后果可谓相当严重。

由于功能标志的实现不正确,该实验性功能默认为API启用。但为了能被利用,DuckDB二进制文件须可通过 Grafana 进程环境PATH访问。

默认情况下,DuckDB 二进制文件未与 Grafana 一起打包,因此为了可利用,系统必须安装 DuckDB 并将其包含在 Grafana 的 PATH 中。

因此如果 DuckDB 不存在,则系统不容易受到攻击,攻击者可利用该漏洞访问主机上的任何文件,包括这些文件中的任何未加密的密码。

Grafana已针对CVE-2024-9264发布关键性修复,向Grafana 11.0.x、11.1.x和11.2.x推出了补丁版本,其中包含了CVE-2024-9264的修复。

Grafana >= v11.0.0(所有v11.x.y)版本都受其影响,但Grafana 10.x不受影响,Grafana 出于谨慎发布两套包含此漏洞修复的安全补丁。

如果不想升级则可以从PATH中删除duckdb二进制文件或者完全从系统中删除它,但这一操作仅仅作为缓解措施,官方强烈建议升级版本。

三、漏洞影响

Grafana >= v11.0.0(所有 v11.xy 都会受到影响)

四、时间线和事件后审查 (所有时间均采用 UTC 时间)

2024-02-27 - PR 合并,将 SQL 表达式添加到 Grafana。

2024-09-26 15:54 - 内部人员发现的漏洞。

2024-09-26 18:34 - Grafana 工程师确认 API 容易受到 LFI 的攻击。

2024-09-26 19:39 - Grafana 工程师发现 RCE 也可能基于 DuckDB 中提供的功能。

2024-09-26 20:10 - 漏洞分类为 9.9。

2024-09-27 13:03 - Grafana Cloud 的所有渠道均已完成安全补丁的滚动发布。

2024-09-27 15:04 - 决定从 Grafana OSS 和 Grafana Enterprise 中完全删除 SQL 表达式功能以实现安全发布。

2024-09-30 02:12 - 编写并合并的所有安全补丁均删除了 SQL 表达式功能。

2024-10-01 13:58 - 已启用的九个产品实例禁用功能切换。 Grafana Cloud 中的所有实例现已禁用该功能。

2024-10-02 20:57 - 所有工件均已构建并验证。

2024-10-03 08:00 - 私人发布。

2024-10-18 02:18 - 公开发布。

2024-10-18 03:00 - 博客已发布。

五、修复建议

出于谨慎考虑,官方发布了两套安全补丁,其中包含针对此漏洞的修复程序。

对于仅需要安全修复的用户,请升级到以下版本之一:

版本11.0.5+security-01 :下载 Grafana 11.0.5+security-01

版本 11.1.6+security-01 :下载 Grafana 11.1.6+security-01

版本 11.2.1+security-01 :下载 Grafana 11.2.1+security-01

对于想要升级到 Grafana 最新版本(10 月 1 日发布)以及安全修复程序的用户,请升级到以下版本之一:

版本 11.0.6+security-01 :下载 Grafana v11.0.6+security-01

版本 11.1.7+security-01 :下载 Grafana 11.1.7+security-01

版本 11.2.2+security-01 :下载 Grafana v11.2.2+security-01

六、参考链接

https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/

标签:网络安全栋科技漏洞库
评论
更换验证码
友情链接