Sicherheitsupdates: Angreifer können über Grafana-Lücke eigene Befehle ausführen

Eine "kritische" Sicherheitslücke in Grafana gefährdet Systeme. Admins sollten zügig eine der abgesicherten Versionen installieren.

Grafana ist eine plattformübergreifende Open-Source-Anwendung, die Daten aus verschiedenen Quellen wie MySQL oder Prometheus zusammenträgt und visualisiert. Nun können Angreifer eine Schwachstelle (CVE-2024-9264) ausnutzen, um Computer zu attackieren. Klappt so eine Attacke, haben Angreifer den Grafana-Entwicklern zufolge Zugriff auf alle Dateien eines Host-PCs. Darunter können auch unverschlüsselte Passwörter sein, die Angreifer für eine weitere Ausbreitung (Network Lateral Movement) gebrauchen können.

SQL Injection

In einer Warnmeldung geben die Entwickler an, dass davon ausschließlich die Versionszweige 11.0.x, 11.1.x und 11.2.x betroffen sind. Grafana 10.x ist von der Lücke nicht bedroht. Aufgrund von unzureichenden Überprüfungen können Angreifer im Kontext des SQL-Expressions-Experimental-Features über duckdb-Anfragen eigene Befehle einschleusen und ausführen. Wie so eine Attacke konkret im Detail ablaufen könnte, ist derzeit nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den folgenden Versionen geschlossen zu haben:

• 11.0.5+security-01
• 11.1.6+security-01
• 11.2.1+security-01
  11.0.6+security-01
• 11.1.7+security-01
• 11.2.2+security-01

Können Admins Sicherheitsupdates nicht umgehend installieren, sollten sie Systeme temporär über einen Workaround schützen: Dafür müssen sie die verwundbare duckdb-Binary vom System entfernen.

Grafana gibt an, die Sicherheitslücke intern Ende September dieses Jahres entdeckt zu haben. Die Sicherheitspatches sind ab sofort verfügbar. Ob es bereits Angriffe gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, wie Admin bereits angegriffene Systeme erkennen können.

(des)