Nel digest di questa settimana, discuteremo di quanto segue:
- Vulnerabilità Cross-site Scripting del Vault di Hashicorp
- Grafana Controllo degli accessi e vulnerabilità delle condizioni di gara
- Vulnerabilità di bypass dell'autenticazione PMM
CVE-2023-2121: Vulnerabilità Cross-site Scripting del Vault di Hashicorp
Sfondo
Hashicorp Vault è uno strumento open source progettato per archiviare e gestire in modo sicuro i dati sensibili nei moderni ambienti IT. Funge da soluzione centralizzata per la gestione dei segreti, fornendo un modo sicuro per archiviare e accedere a password, chiavi API, certificati e altri tipi di segreti. Vault utilizza una combinazione di crittografia, criteri di controllo degli accessi e funzionalità di auditing per proteggere le informazioni sensibili. Vault Enterprise è la versione commerciale di HashiCorp Vault. Offre funzionalità aggiuntive e supporto su misura per le implementazioni su scala aziendale.
Vulnerabilità
La vulnerabilità, classificata come CVE-2023-2121, è una vulnerabilità di iniezione che consente l'iniezione di HTML nell'interfaccia Web di Vault attraverso valori chiave. I prodotti interessati includono Vault e Vault Enterprise a partire dalla versione 1.10.0.
Vault 1.10.0 ha introdotto la possibilità di esaminare facilmente la differenza tra due revisioni di segreti chiave-valore kv-v2 (KV Secrets Engine) nell'interfaccia web di Vault.
Un utente con privilegi di scrittura su un supporto del motore dei segreti kv-v2 potrebbe fornire una stringa che verrebbe sanificata in modo errato e resa come HTML grezzo dall'interfaccia web di Vault, causando un'iniezione di HTML.
Per impostazione predefinita, i criteri di sicurezza dei contenuti di Vault impediscono l'esecuzione di JavaScript in linea, prevenendo così l'esposizione al cross-site scripting attraverso questo vettore. Vault utilizza tre meccanismi principali per prevenire il cross-site scripting: la digitazione forte e la convalida dell'input nel backend, la codifica dell'output fornita dal framework nel frontend e un criterio di sicurezza dei contenuti restrittivo e personalizzabile che include script-src 'self' per impostazione predefinita.
Va notato che l'impatto di questa vulnerabilità è basso, poiché un utente malintenzionato ha bisogno di privilegi di scrittura su un motore di segreti kv-v2 per iniettare payload.
Mitigazione
- Si consiglia vivamente di aggiornare alla versione patchata di Vault, ossia 1.14.0, 1.13.3, 1.12.7 e 1.11.11.
Grafana Controllo degli accessi e vulnerabilità delle condizioni di gara
Sfondo
Grafana è un'applicazione web open-source di analisi e visualizzazione interattiva. Fornisce grafici, diagrammi e avvisi per il web quando è collegato alle fonti di dati supportate. Grafana è uno strumento popolare per il monitoraggio e la visualizzazione di metriche da varie fonti, tra cui Prometheus, InfluxDB, Graphite ed Elasticsearch. Può anche essere usato per creare dashboard che visualizzano i dati di più fonti in un'unica vista.
Vulnerabilità
Grafana Le versioni 9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19 e 8.0 > 8.5.26 presentano diverse vulnerabilità, di cui ci occuperemo.
CVE-2023-2183: Controllo degli accessi non funzionante
Grafana offre la funzionalità di inviare avvisi tramite l'API o il pannello utente dell'interfaccia Web.
Questa vulnerabilità, tracciata come CVE-2023-2183, consente a un utente malintenzionato nel ruolo Viewer di inviare avvisi tramite la funzione API Alert-Test. Questo problema si verifica perché l'API non controlla l'accesso dell'utente alla funzione API alert. In questo POC è possibile vedere l'abuso della vulnerabilità.
Si noti che questa opzione non è disponibile nell'interfaccia utente del pannello utente per il ruolo Viewer, ma solo tramite l'API.
Questa vulnerabilità consente agli utenti malintenzionati di abusare della funzionalità inviando più messaggi di avviso via e-mail, Slack e altre piattaforme; spammando gli utenti; preparando attacchi di phishing o bloccando il server SMTP/IP; o spostando automaticamente tutti i messaggi in una cartella spam o aggiungendoli a una lista nera di IP.
Mitigazione
- Si consiglia di aggiornare alle versioni patchate di Grafana , ossia 9.5.3, 9.4.12, 9.3.15, 9.2.19 e 8.5.26.
- Per evitare lo spamming via e-mail, si consiglia di modificare le impostazioni di configurazione del server SMTP limitando la possibilità di inviare più e-mail allo stesso indirizzo e-mail per unità di tempo/soglia.
CVE-2023-2801: Condizione di gara del proxy DS
Grafana offre la possibilità di creare query miste utilizzando dati provenienti da più fonti di dati. Ad esempio, è possibile creare una query mista che utilizza i dati di Prometheus e InfluxDB. Public Dashboards è un'altra funzione di Grafana che consente agli utenti di condividere i dashboard con chiunque al di fuori dell'organizzazione.
La vulnerabilità, segnalata come CVE-2023-2801, è presente nel modo in cui Grafana gestisce le query miste. Quando Grafana riceve una query mista, tenta di eseguirla su ogni fonte di dati a turno. Tuttavia, se la query è malformata, Grafana può bloccarsi. In particolare, se si invia una chiamata API all'endpoint /ds/query o a un dashboard pubblico che contiene query miste, l'istanza di Grafana può bloccarsi. L'unica funzione che utilizza query miste all'interno di Grafana è attualmente Public Dashboards, ma è possibile causare questo problema anche chiamando direttamente l'API.
NOTA: se avete attivato Public Dashboards (PD), questa vulnerabilità è classificata come alta da Grafana. Anche se la PD è disattivata, questa vulnerabilità presenta comunque un rischio. Tuttavia, l'attivazione del problema richiede privilegi di lettura dell'origine dati e l'accesso all'API Grafana tramite uno script per sviluppatori.
Mitigazione
- Si consiglia di aggiornare alle versioni patchate di Grafana , ossia 9.5.3, 9.4.12, 9.3.15, 9.2.19 e 8.5.26.
- Cercate di evitare di utilizzare query miste con i dashboard pubblici.
CVE-2023-34409: Vulnerabilità di bypass dell'autenticazione PMM
Sfondo
Percona Monitoring and Management (PMM) è uno strumento di monitoraggio e gestione per database open source, tra cui MySQL, PostgreSQL e MongoDB. Raccoglie le metriche dai database e dagli host e le visualizza in un dashboard basato sul web. PMM include anche funzioni per la risoluzione dei problemi, gli avvisi e l'ottimizzazione delle prestazioni.
Vulnerabilità
Questa vulnerabilità, segnalata come CVE-2023-34409, è una vulnerabilità di bypass dell'autenticazione che esiste nel modo in cui PMM gestisce l'autenticazione. Si presume che tutte le versioni di PMM a partire dalla 2.0.0 siano vulnerabili.
Nelle versioni vulnerabili di PMM, la funzione di autenticazione eliminava segmenti dell'URL finché non trovava uno schema corrispondente nel suo set di regole. La funzione non sanifica correttamente i percorsi degli URL per respingere i tentativi di attraversamento dei percorsi. Questa falla potrebbe essere sfruttata da un aggressore remoto non autenticato inviando un URL malformato a PMM, che può bypassare l'autenticazione e accedere ai registri di PMM con conseguente divulgazione di informazioni sensibili e potenziale escalation di privilegi.
Mitigazione
- L'aggiornamento alle versioni patchate di PMM, ossia 2.37.1, è altamente consigliato, soprattutto se l'istanza di PMM è accessibile direttamente da Internet.
Commenti