在本周的摘要中,我们将讨论以下内容:
- Hashicorp Vault跨站脚本漏洞
- Grafana 访问控制和竞赛条件漏洞
- PMM认证绕过漏洞
CVE-2023-2121: Hashicorp Vault跨站脚本攻击漏洞
背景介绍
Hashicorp Vault 是一款开源工具,旨在安全地存储和管理现代 IT 环境中的敏感数据。它是一个集中式秘密管理解决方案,提供了一种安全的方式来存储和访问密码、密钥、证书和其他类型的秘密、 API 密钥、证书和其他类型的机密。Vault 结合使用加密、访问控制策略和审计功能来保护敏感信息。Vault Enterprise 是 HashiCorp Vault 的商业版本。它为企业级部署提供额外的功能和支持。
脆弱性
该漏洞被追踪为CVE-2023-2121,是一个注入漏洞,允许通过键值向Vault Web UI注入HTML。受影响的产品包括自1.10.0以来的Vault和Vault Enterprise。
Vault 1.10.0引入了在Vault的Web UI中轻松审查kv-v2 (KV Secrets Engine)键值秘密的两个修订版之间的差异的能力。
一个对kv-v2秘密引擎挂载有写入权限的用户可以提供一个字符串,该字符串会被Vault的Web UI错误地消毒并呈现为原始HTML,导致HTML注入。
默认情况下,Vault的内容安全策略可以防止执行内联的JavaScript,因此可以防止通过这一载体进行跨网站脚本的暴露。Vault使用三个主要机制来防止跨站脚本;在后端进行强打字和输入验证,在前端进行框架提供的输出编码,以及一个限制性的、可定制的内容安全策略,默认包括脚本源 "self"。
应该指出的是,这个漏洞的影响很低,因为攻击者需要对kv-v2秘密引擎有写入权限,才能注入有效载荷。
缓解
- 强烈建议升级到Vault的补丁版本,即1.14.0、1.13.3、1.12.7和1.11.11,。
Grafana 访问控制和竞赛条件漏洞
背景介绍
Grafana 是一个开源的分析和互动可视化的网络应用程序。当连接到支持的数据源时,它为网络提供图表、图形和警报。Grafana 是一个流行的工具,用于监测和可视化各种来源的指标,包括Prometheus 、InfluxDB、Graphite和Elasticsearch。它还可以用来创建仪表盘,在一个视图中显示来自多个来源的数据。
漏洞
Grafana 9.5>9.5.3、9.4>9.4.12、9.3>9.3.15、9.0>9.2.19和8.0>8.5.26版本有几个漏洞,我们将介绍这些漏洞。
CVE-2023-2183:破解访问控制
Grafana 或 Web UI 用户面板发送警报的功能。 API 或 Web UI 用户面板发送警报的功能。
该漏洞被追踪为CVE-2023-2183,允许查看器角色的攻击者通过 API 警报测试功能发送警报。 API 出现这个问题是因为 API 出现此问题的原因是该漏洞没有检查用户对警报函数的访问权限。在此POC 中可以看到该漏洞被滥用。
需要注意的一点是,查看器角色的用户面板用户界面中没有该选项,只能通过 API.
这个漏洞使恶意用户能够滥用功能,通过电子邮件、Slack和其他平台发送多个警报信息;向用户发送垃圾邮件;准备网络钓鱼攻击或阻止SMTP服务器/IP;或自动将所有信息移至垃圾邮件文件夹或添加到黑名单IP。
缓解
- 强烈建议升级到Grafana 的补丁版本,即9.5.3、9.4.12、9.3.15、9.2.19和8.5.26。
- 为了防止通过电子邮件发送垃圾邮件,可以考虑对SMTP服务器配置设置进行修改,限制每个单位时间/阈值向同一电子邮件地址发送多封电子邮件的能力。
CVE-2023-2801:DS代理竞赛条件
Grafana 提供了通过使用多个数据源的数据来创建混合查询的功能。例如,你可以创建一个混合查询,使用来自Prometheus 和InfluxDB的数据。公共仪表盘是Grafana 中的另一个功能,允许用户与你的组织以外的任何人分享仪表盘。
该漏洞被追踪为CVE-2023-2801,存在于Grafana 处理混合查询的方式中。当Grafana 收到混合查询时,它会尝试依次对每个数据源执行查询。但是,如果查询是畸形的,就会导致Grafana 崩溃。更具体地说,如果您向 API 调用/ds/query 或具有混合查询的公共仪表盘查询端点,就会导致Grafana 实例崩溃。目前在Grafana 中使用混合查询的唯一功能是公共仪表板,但直接调用 API 直接调用
注意:如果启用了公共仪表盘(PD),则此漏洞被Grafana 评为 "高"。即使禁用了 PD,此漏洞仍会带来风险。不过,触发该问题需要数据源读取权限和通过开发人员脚本访问Grafana API 通过开发人员脚本。
缓解
- 强烈建议升级到Grafana 的补丁版本,即9.5.3、9.4.12、9.3.15、9.2.19和8.5.26。
- 尽量避免使用公共仪表板的混合查询。
CVE-2023-34409: PMM认证绕过漏洞
背景介绍
PerconaMonitoring and Management (PMM) 是一款用于监控和管理开源数据库(包括 MySQL、PostgreSQL 和 MongoDB)的工具。它收集数据库和主机的指标,并将其显示在基于 Web 的仪表板中。PMM 还包括故障排除、警报和性能优化功能。
脆弱性
该漏洞被追踪为CVE-2023-34409,是PMM处理认证方式中存在的认证绕过漏洞。所有从2.0.0开始的PMM版本都被认为存在漏洞。
在有问题的PMM版本中,认证功能会剥离URL的片段,直到在其规则集中找到匹配的模式。该功能没有正确处理URL路径以拒绝路径遍历尝试。未认证的远程攻击者可通过向PMM提供畸形的URL来利用这一缺陷,从而绕过认证并访问PMM日志,导致敏感信息的泄露和潜在的权限升级。
缓解
- 强烈建议升级到PMM的补丁版本,即2.37.1,特别是如果PMM实例可以直接从互联网上访问。
注释