Zum Inhalt springen
BlogSicherheitLinode Security Digest 12. Juni bis 19. Juni 2023

Linode Security Digest 12. Juni bis 19. Juni 2023

Linode Security Digest

In der Zusammenfassung dieser Woche geht es um folgende Themen:

  • Hashicorp Vault Cross-Site-Scripting-Schwachstelle
  • Grafana Schwachstellen bei Zugriffskontrolle und Race Condition
  • PMM-Authentifizierungsumgehungsschwachstelle
CVE-2023-2121: Hashicorp Vault Cross-Site-Scripting-Schwachstelle

Hintergrund

Hashicorp Vault ist ein Open-Source-Tool für die sichere Speicherung und Verwaltung sensibler Daten in modernen IT-Umgebungen. Es fungiert als zentralisierte Lösung für die Verwaltung von Geheimnissen und bietet eine sichere Möglichkeit zum Speichern und Zugreifen auf Passwörter, API-Schlüssel, Zertifikate und andere Arten von Geheimnissen. Vault nutzt eine Kombination aus Verschlüsselung, Zugriffskontrollrichtlinien und Auditing-Funktionen, um sensible Informationen zu schützen. Vault Enterprise ist die kommerzielle Version von HashiCorp Vault. Sie bietet zusätzliche Funktionen und Unterstützung, die auf den Einsatz in Unternehmen zugeschnitten sind.

Schwachstelle

Bei der als CVE-2023-2121 verfolgten Schwachstelle handelt es sich um eine Injektionsschwachstelle, die eine HTML-Injektion in die Vault-Web-UI über Schlüsselwerte ermöglicht. Zu den betroffenen Produkten gehören Vault und Vault Enterprise seit 1.10.0.

Mit Vault 1.10.0 wurde die Möglichkeit eingeführt, den Unterschied zwischen zwei Revisionen von kv-v2 (KV Secrets Engine) Schlüssel-Wert-Geheimnissen in der Web-UI von Vault einfach zu überprüfen.

Ein Benutzer mit Schreibrechten für einen kv-v2 Secrets Engine Mount könnte eine Zeichenkette bereitstellen, die von der Web-UI von Vault nicht korrekt bereinigt und als rohes HTML dargestellt wird, was zu einer HTML-Injection führen würde.

Die Inhaltssicherheitsrichtlinie von Vault verhindert standardmäßig die Ausführung von Inline-JavaScript und damit die Anfälligkeit für Cross-Site-Scripting über diesen Vektor. Vault verwendet drei Hauptmechanismen zur Verhinderung von Cross-Site-Scripting: starke Typisierung und Eingabevalidierung am Backend, vom Framework bereitgestellte Ausgabeverschlüsselung am Frontend und eine restriktive, anpassbare Content Security Policy, die standardmäßig script-src "self" einschließt.

Es ist zu beachten, dass die Auswirkungen dieser Schwachstelle gering sind, da ein Angreifer Schreibrechte für eine kv-v2 Secrets Engine benötigt, um Payloads zu injizieren.

Milderung

  • Ein Upgrade auf die gepatchte Version von Vault, d.h. 1.14.0, 1.13.3, 1.12.7 und 1.11.11, wird dringend empfohlen.
Grafana Schwachstellen bei Zugriffskontrolle und Race Condition

Hintergrund

Grafana ist eine Open-Source-Analyse- und interaktive Visualisierungs-Webanwendung. Sie bietet Diagramme, Grafiken und Warnmeldungen für das Web, wenn sie mit unterstützten Datenquellen verbunden ist. Grafana ist ein beliebtes Tool zur Überwachung und Visualisierung von Metriken aus verschiedenen Quellen, darunter Prometheus, InfluxDB, Graphite und Elasticsearch. Es kann auch verwendet werden, um Dashboards zu erstellen, die Daten aus mehreren Quellen in einer einzigen Ansicht anzeigen.

Schwachstellen

Grafana Die Versionen 9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19 und 8.0 > 8.5.26 haben mehrere Sicherheitslücken, die wir behandeln werden.

CVE-2023-2183: Gebrochene Zugangskontrolle

Grafana bietet die Möglichkeit, Warnmeldungen über die API oder das Web-UI-Bedienfeld zu senden.

Diese Sicherheitsanfälligkeit, die als CVE-2023-2183 verfolgt wird, ermöglicht es einem Angreifer in der Viewer-Rolle, Alarme über die API-Alert-Test-Funktion zu senden. Die Schwachstelle kann in diesem POC missbraucht werden.

Dabei ist zu beachten, dass diese Option nicht in der Benutzeroberfläche der Viewer-Rolle verfügbar ist, sondern nur über die API.

Diese Schwachstelle ermöglicht es böswilligen Benutzern, die Funktion zu missbrauchen, indem sie mehrere Warnmeldungen per E-Mail, Slack und über andere Plattformen versenden, Benutzer spammen, Phishing-Angriffe vorbereiten oder SMTP-Server/IPs blockieren oder alle Nachrichten automatisch in einen Spam-Ordner verschieben oder zu einer schwarzen IP-Liste hinzufügen.

Milderung

  • Ein Upgrade auf die gepatchten Versionen von Grafana , d. h. 9.5.3, 9.4.12, 9.3.15, 9.2.19 und 8.5.26, wird dringend empfohlen.
  • Um Spamming per E-Mail zu verhindern, sollten Sie die Konfigurationseinstellungen des SMTP-Servers dahingehend ändern, dass das Senden mehrerer E-Mails an dieselbe E-Mail-Adresse pro Zeiteinheit/Schwellenwert eingeschränkt wird.

CVE-2023-2801: DS Proxy Race Condition

Grafana bietet die Möglichkeit, gemischte Abfragen zu erstellen, indem Daten aus mehreren Datenquellen verwendet werden. So können Sie beispielsweise eine gemischte Abfrage erstellen, die sowohl Daten von Prometheus als auch von InfluxDB verwendet. Öffentliche Dashboards sind eine weitere Funktion in Grafana , die es Nutzern ermöglicht, Dashboards mit Personen außerhalb Ihres Unternehmens zu teilen.

Die Sicherheitslücke, die als CVE-2023-2801 verfolgt wird, besteht in der Art und Weise, wie Grafana gemischte Abfragen behandelt. Wenn Grafana eine gemischte Abfrage erhält, versucht es, die Abfrage nacheinander für jede Datenquelle auszuführen. Wenn die Abfrage jedoch fehlerhaft ist, kann dies zum Absturz von Grafana führen. Genauer gesagt, wenn Sie einen API-Aufruf an den /ds/query oder einen öffentlichen Dashboard-Abfrageendpunkt senden, der gemischte Abfragen enthält, können Sie Ihre Grafana -Instanz zum Absturz bringen. Die einzige Funktion, die derzeit gemischte Abfragen innerhalb von Grafana verwendet, sind öffentliche Dashboards, aber es ist auch möglich, dieses Problem durch den direkten Aufruf der API zu verursachen.

HINWEIS: Wenn Sie öffentliche Dashboards (PD) aktiviert haben, wird diese Sicherheitslücke von Grafana als hoch eingestuft. Auch wenn Sie PD deaktiviert haben, stellt diese Sicherheitslücke immer noch ein Risiko dar. Zum Auslösen des Problems sind jedoch Leseberechtigungen für die Datenquelle und Zugriff auf die Grafana API über ein Entwicklerskript erforderlich.

Milderung

  • Ein Upgrade auf die gepatchten Versionen von Grafana , d. h. 9.5.3, 9.4.12, 9.3.15, 9.2.19 und 8.5.26, wird dringend empfohlen.
  • Versuchen Sie, gemischte Abfragen mit öffentlichen Dashboards zu vermeiden.

CVE-2023-34409: PMM-Authentifizierungsumgehung Sicherheitslücke

Hintergrund

Percona Monitoring and Management (PMM) ist ein Überwachungs- und Verwaltungswerkzeug für Open-Source-Datenbanken, einschließlich MySQL, PostgreSQL und MongoDB. Es sammelt Metriken von Ihren Datenbanken und Hosts und zeigt sie in einem webbasierten Dashboard an. PMM enthält auch Funktionen zur Fehlerbehebung, Alarmierung und Leistungsoptimierung.

Schwachstelle

Diese Sicherheitslücke, die als CVE-2023-34409 verfolgt wird, ist eine Sicherheitslücke bei der Umgehung der Authentifizierung, die in der Art und Weise besteht, wie PMM die Authentifizierung handhabt. Es wird angenommen, dass alle Versionen von PMM ab 2.0.0 anfällig sind.

In den verwundbaren Versionen von PMM würde die Authentifizierungsfunktion Segmente der URL entfernen, bis sie ein passendes Muster in ihrem Regelsatz findet. Die Funktion bereinigt URL-Pfade nicht ordnungsgemäß, um Pfadüberquerungsversuche abzulehnen. Dieser Fehler könnte von einem nicht authentifizierten Angreifer ausgenutzt werden, indem er eine fehlerhafte URL an PMM sendet, die die Authentifizierung umgehen und auf PMM-Protokolle zugreifen kann, was zur Offenlegung sensibler Informationen und einer möglichen Ausweitung der Rechte führt. 

Milderung

  • Ein Upgrade auf die gepatchten Versionen von PMM, d.h. 2.37.1, wird dringend empfohlen, insbesondere wenn die PMM-Instanz direkt über das Internet zugänglich ist.

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet