En el resumen de esta semana hablaremos de lo siguiente:
- Vulnerabilidad de secuencias de comandos en sitios cruzados en Hashicorp Vault
- Grafana Vulnerabilidades de control de acceso y condiciones de carrera
- Vulnerabilidad de elusión de autenticación de PMM
CVE-2023-2121: Vulnerabilidad de secuencias de comandos en sitios cruzados en la bóveda de Hashicorp
Fondo
Hashicorp Vault es una herramienta de código abierto diseñada para almacenar y gestionar datos confidenciales en entornos informáticos modernos de forma segura. Actúa como una solución centralizada de gestión de secretos, proporcionando una forma segura de almacenar y acceder a contraseñas, claves API, certificados y otros tipos de secretos. Vault utiliza una combinación de cifrado, políticas de control de acceso y funciones de auditoría para proteger la información confidencial. Vault Enterprise es la versión comercial de HashiCorp Vault. Ofrece funciones y soporte adicionales adaptados a implantaciones a escala empresarial.
Vulnerabilidad
La vulnerabilidad, rastreada como CVE-2023-2121, es una vulnerabilidad de inyección que permite la inyección de HTML en la interfaz de usuario web de Vault a través de valores clave. Los productos afectados incluyen Vault y Vault Enterprise desde 1.10.0.
Vault 1.10.0 introdujo la posibilidad de revisar fácilmente la diferencia entre dos revisiones de secretos clave-valor kv-v2 (KV Secrets Engine) en la interfaz web de Vault.
Un usuario con privilegios de escritura en un montaje del motor de secretos kv-v2 podría proporcionar una cadena que sería incorrectamente desinfectada y renderizada como HTML sin procesar por la interfaz de usuario web de Vault, dando lugar a una inyección HTML.
Por defecto, la política de seguridad de contenidos de Vault impide la ejecución de JavaScript en línea, evitando así la exposición al cross-site-scripting a través de este vector. Vault utiliza tres mecanismos principales para prevenir el cross-site scripting: escritura fuerte y validación de entrada en el backend, codificación de salida proporcionada por el framework en el frontend y una política de seguridad de contenido restrictiva y personalizable que incluye script-src 'self' por defecto.
Cabe señalar que el impacto de esta vulnerabilidad es bajo, ya que un atacante necesita privilegios de escritura en un motor de secretos kv-v2 para poder inyectar cargas útiles.
Mitigación
- Se recomienda encarecidamente actualizar a la versión parcheada de Vault, es decir, 1.14.0, 1.13.3, 1.12.7 y 1.11.11.
Grafana Vulnerabilidades de control de acceso y condiciones de carrera
Fondo
Grafana es una aplicación web de análisis y visualización interactiva de código abierto. Proporciona diagramas, gráficos y alertas para la web cuando se conecta a fuentes de datos compatibles. Grafana es una herramienta popular para supervisar y visualizar métricas de diversas fuentes, como Prometheus, InfluxDB, Graphite y Elasticsearch. También puede utilizarse para crear cuadros de mando que muestren datos de múltiples fuentes en una única vista.
Vulnerabilidades
Grafana Las versiones 9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19 y 8.0 > 8.5.26 tienen varias vulnerabilidades, que cubriremos.
CVE-2023-2183: Control de acceso roto
Grafana ofrece la posibilidad de enviar alertas a través de la API o del panel de usuario de la interfaz web.
Esta vulnerabilidad, rastreada como CVE-2023-2183, permite a un atacante con el rol de Visor enviar alertas mediante la función API Alert-Test.Este problema se produce porque la API no comprueba el acceso del usuario a la función API Alert. La vulnerabilidad se puede ver siendo abusada en este POC.
Un punto a tener en cuenta aquí es que esta opción no está disponible en la interfaz de usuario del panel de usuario para el rol de Visor, sólo a través de la API.
Esta vulnerabilidad permite a los usuarios malintencionados abusar de la funcionalidad mediante el envío de múltiples mensajes de alerta a través de correo electrónico, Slack y otras plataformas; enviar spam a los usuarios; preparar ataques de phishing o bloquear el servidor SMTP / IP; o mover automáticamente todos los mensajes a una carpeta de spam o añadirlos a una lista negra IP.
Mitigación
- Se recomienda encarecidamente actualizar a las versiones parcheadas de Grafana , es decir, 9.5.3, 9.4.12, 9.3.15, 9.2.19 y 8.5.26.
- Para evitar el spam a través del correo electrónico, considere la posibilidad de realizar cambios en los ajustes de configuración del servidor SMTP limitando la capacidad de enviar varios correos electrónicos a la misma dirección de correo electrónico por unidad de tiempo/umbral.
CVE-2023-2801: DS Proxy Race Condition
Grafana ofrece la funcionalidad de crear consultas mixtas utilizando datos de múltiples fuentes de datos. Por ejemplo, puede crear una consulta mixta que utilice datos tanto de Prometheus como de InfluxDB. Public Dashboards es otra función de Grafana que permite a los usuarios compartir cuadros de mando con cualquier persona ajena a su organización.
La vulnerabilidad, rastreada como CVE-2023-2801, existe en la forma en que Grafana gestiona las consultas mixtas. Cuando Grafana recibe una consulta mixta, intenta ejecutar la consulta contra cada fuente de datos sucesivamente. Sin embargo, si la consulta está malformada, Grafana puede bloquearse. Más concretamente, si envías una llamada a la API /ds/query o a un punto final de consulta del panel de control público que contenga consultas mixtas, puedes bloquear tu instancia de Grafana . La única función que utiliza consultas mixtas en Grafana en este momento es Public Dashboards, pero también es posible causar este problema llamando directamente a la API.
NOTA: Si tiene activados los Public Dashboards(PD), esta vulnerabilidad está clasificada como Alta por Grafana. Incluso si ha desactivado PD, esta vulnerabilidad sigue suponiendo un riesgo. Sin embargo, para desencadenar el problema se requieren privilegios de lectura del origen de datos y acceso a la API Grafana a través de un script de desarrollador.
Mitigación
- Se recomienda encarecidamente actualizar a las versiones parcheadas de Grafana , es decir, 9.5.3, 9.4.12, 9.3.15, 9.2.19 y 8.5.26.
- Intente evitar el uso de consultas mixtas con los Cuadros de Mando Públicos.
CVE-2023-34409: Vulnerabilidad de elusión de autenticación de PMM
Fondo
Percona Monitoring and Management (PMM) es una herramienta de monitorización y gestión para bases de datos de código abierto, incluyendo MySQL, PostgreSQL y MongoDB. Recoge métricas de sus bases de datos y hosts y las muestra en un panel de control basado en web. PMM también incluye características para la solución de problemas, alertas y optimización del rendimiento.
Vulnerabilidad
Esta vulnerabilidad, rastreada como CVE-2023-34409, es una vulnerabilidad de evasión de autenticación que existe en la forma en que PMM maneja la autenticación. Se supone que todas las versiones de PMM a partir de la 2.0.0 son vulnerables.
En las versiones vulnerables de PMM, la función de autenticación eliminaba segmentos de la URL hasta que encontraba un patrón coincidente en su conjunto de reglas. La función no sanea apropiadamente las rutas URL para rechazar intentos de atravesar rutas. Este defecto podría ser explotado por un atacante remoto no autenticado mediante la alimentación de una URL malformada a PMM, que puede eludir la autenticación y acceder a los registros de PMM resultando en la divulgación de información sensible y potencial escalada de privilegios.
Mitigación
- Se recomienda encarecidamente actualizar a las versiones parcheadas de PMM, es decir, a la 2.37.1, especialmente si la instancia de PMM es accesible directamente desde Internet.
Comentarios