이번 주 다이제스트에서는 다음 사항에 대해 설명합니다:
- 해시코프 볼트 크로스 사이트 스크립팅 취약점
- Grafana 액세스 제어 및 경쟁 조건 취약점
- PMM 인증 우회 취약점
CVE-2023-2121: 해시코프 볼트 크로스 사이트 스크립팅 취약점
배경
해시코프 볼트는 최신 IT 환경에서 민감한 데이터를 안전하게 저장하고 관리하도록 설계된 오픈 소스 도구입니다. 중앙 집중식 비밀 관리 솔루션으로 작동하며 비밀번호를 안전하게 저장하고 액세스할 수 있는 방법을 제공합니다, API 키, 인증서 및 기타 유형의 비밀을 안전하게 저장하고 액세스할 수 있는 방법을 제공합니다. Vault는 암호화, 액세스 제어 정책, 감사 기능의 조합을 사용해 민감한 정보를 보호합니다. Vault Enterprise는 해시코프 볼트의 상용 버전입니다. 엔터프라이즈급 배포에 적합한 추가 기능과 지원을 제공합니다.
취약성
CVE-2023-2121로 추적되는 이 취약점은 키 값을 통해 Vault 웹 UI에 HTML을 삽입할 수 있는 인젝션 취약점입니다. 영향을 받는 제품에는 1.10.0 이후의 Vault 및 Vault Enterprise가 포함됩니다.
Vault 1.10.0에서는 Vault의 웹 UI에서 두 가지 개정판 kv-v2 (KV 시크릿 엔진) 키-값 시크릿의 차이점을 쉽게 검토할 수 있는 기능이 도입되었습니다.
kv-v2 시크릿 엔진 마운트에 대한 쓰기 권한이 있는 사용자가 문자열을 제공할 수 있는데, 이 문자열은 Vault의 웹 UI에서 잘못 살균되어 원시 HTML로 렌더링되어 HTML 인젝션으로 이어질 수 있습니다.
기본적으로 Vault의 콘텐츠 보안 정책은 인라인 자바스크립트의 실행을 방지하여 이 벡터를 통한 크로스 사이트 스크립팅에 노출되지 않도록 합니다. Vault는 백엔드에서 강력한 타이핑 및 입력 유효성 검사, 프론트엔드에서 프레임워크에서 제공하는 출력 인코딩, 스크립트 소스 '자체'를 기본적으로 포함하는 제한적이고 사용자 정의 가능한 콘텐츠 보안 정책 등 세 가지 주요 메커니즘을 사용하여 크로스 사이트 스크립팅을 방지합니다.
공격자가 페이로드를 삽입하려면 kv-v2 시크릿 엔진에 대한 쓰기 권한이 필요하기 때문에 이 취약점의 영향은 낮다는 점에 유의해야 합니다.
완화
- 1.14.0, 1.13.3, 1.12.7, 1.11.11 등 패치된 버전의 Vault로 업그레이드하는 것을 적극 권장합니다.
Grafana 액세스 제어 및 경쟁 조건 취약점
배경
Grafana 는 오픈 소스 분석 및 대화형 시각화 웹 애플리케이션입니다. 지원되는 데이터 소스에 연결하면 웹용 차트, 그래프 및 알림을 제공합니다. Grafana 는 Prometheus, InfluxDB, Graphite 및 Elasticsearch를 비롯한 다양한 소스의 메트릭을 모니터링하고 시각화하는 데 널리 사용되는 도구입니다. 또한 여러 소스의 데이터를 단일 보기에 표시하는 대시보드를 만드는 데에도 사용할 수 있습니다.
취약점
Grafana 9.5> 9.5.3, 9.4> 9.4.12, 9.3> 9.3.15, 9.0> 9.2.19 및 8.0> 8.5.26 버전에는 몇 가지 취약점이 있으며, 이에 대해 다룰 예정입니다.
CVE-2023-2183: 취약한 액세스 제어
Grafana 를 통해 알림을 보내는 기능을 제공합니다. API 또는 웹 UI 사용자 패널을 통해 알림을 보낼 수 있습니다.
CVE-2023-2183으로 추적되는 이 취약점은 뷰어 역할의 공격자가 다음을 통해 경고를 보낼 수 있습니다. API 경고-테스트 기능.이 문제는 API 가 사용자의 API 경고 기능에 대한 사용자의 액세스를 확인하지 않기 때문에 발생합니다. 이 취약점은 이 POC에서 악용되는 것을 볼 수 있습니다.
여기서 한 가지 주의해야 할 점은 이 옵션은 뷰어 역할의 사용자 패널 UI에서는 사용할 수 없으며, 오직 API.
이 취약점을 악용한 악의적인 사용자는 이메일, Slack 및 기타 플랫폼을 통해 여러 개의 경고 메시지를 보내거나, 사용자에게 스팸을 보내거나, 피싱 공격을 준비하거나, SMTP 서버/IP를 차단하거나, 모든 메시지를 스팸 폴더로 자동 이동하거나 블랙리스트 IP에 추가하는 등 기능을 악용할 수 있습니다.
완화
- Grafana (9.5.3, 9.4.12, 9.3.15, 9.2.19, 8.5.26)의 패치된 버전으로 업그레이드하는 것이 좋습니다.
- 이메일을 통한 스팸을 방지하려면 단위 시간/임계값당 동일한 이메일 주소로 여러 개의 이메일을 보낼 수 있는 기능을 제한하여 SMTP 서버 구성 설정을 변경하는 것이 좋습니다.
CVE-2023-2801: DS 프록시 경쟁 조건
Grafana 는 여러 데이터 소스의 데이터를 사용하여 혼합 쿼리를 만들 수 있는 기능을 제공합니다. 예를 들어 Prometheus 및 InfluxDB의 데이터를 모두 사용하는 혼합 쿼리를 만들 수 있습니다. 공개 대시보드는 Grafana 의 또 다른 기능으로, 사용자가 조직 외부의 모든 사람과 대시보드를 공유할 수 있습니다.
CVE-2023-2801로 추적되는 이 취약점은 Grafana 에서 혼합 쿼리를 처리하는 방식에 존재합니다. Grafana 은 혼합 쿼리를 수신하면 각 데이터 소스에 대해 차례로 쿼리를 실행하려고 시도합니다. 그러나 쿼리가 잘못된 경우 Grafana 이 충돌할 수 있습니다. 좀 더 구체적으로, /ds/query에 API 호출 또는 혼합 쿼리가 있는 공개 대시보드 쿼리 엔드포인트를 보내면 Grafana 인스턴스가 충돌할 수 있습니다. 현재 Grafana 내에서 혼합 쿼리를 사용하는 유일한 기능은 공개 대시보드이지만, 이 문제를 일으킬 수도 있습니다. API 를 직접 호출하여 이 문제를 일으킬 수도 있습니다.
참고: 공개 대시보드(PD)를 사용하도록 설정한 경우, 이 취약점은 Grafana 에서 높음으로 평가합니다. PD를 비활성화했더라도 이 취약점은 여전히 위험합니다. 그러나 이 문제를 트리거하려면 데이터 소스 읽기 권한이 필요하며 개발자 스크립트를 통해 Grafana API 에 대한 액세스 권한이 필요합니다.
완화
- Grafana (9.5.3, 9.4.12, 9.3.15, 9.2.19, 8.5.26)의 패치된 버전으로 업그레이드하는 것이 좋습니다.
- 공개 대시보드에 혼합 쿼리를 사용하지 않도록 하세요.
CVE-2023-34409: PMM 인증 우회 취약점
배경
Percona Monitoring 및 관리(PMM)는 MySQL, PostgreSQL, MongoDB를 포함한 오픈 소스 데이터베이스를 위한 모니터링 및 관리 도구입니다. 데이터베이스와 호스트에서 메트릭을 수집하여 웹 기반 대시보드에 표시합니다. PMM에는 문제 해결, 알림 및 성능 최적화를 위한 기능도 포함되어 있습니다.
취약성
CVE-2023-34409로 추적되는 이 취약점은 PMM이 인증을 처리하는 방식에 존재하는 인증 우회 취약점입니다. 2.0.0부터 시작하는 모든 버전의 PMM이 취약한 것으로 추정됩니다.
취약한 버전의 PMM에서는 인증 함수가 규칙 집합에서 일치하는 패턴을 찾을 때까지 URL의 세그먼트를 제거합니다. 이 함수는 경로 통과 시도를 거부하기 위해 URL 경로를 제대로 살균하지 않습니다. 이 결함은 인증되지 않은 원격 공격자가 변조된 URL을 PMM에 공급함으로써 악용될 수 있으며, 인증을 우회하고 PMM 로그에 액세스하여 민감한 정보를 공개하고 잠재적인 권한 상승을 초래할 수 있습니다.
완화
- 특히 인터넷에서 PMM 인스턴스에 직접 액세스할 수 있는 경우 패치된 버전의 PMM(예: 2.37.1)으로 업그레이드할 것을 적극 권장합니다.
내용