Grafana 製品に対する重要なセキュリティ脆弱性が公開され、多数の韓国国内サーバーが脆弱なバージョンであることが確認された。Grafana はデータを視覚化し、モニタリングを行うことができるオープンソースプラットフォームとして広く知られている。
2024年10月18日に公開された CVE-2024-9264 脆弱性は、Grafana のサーバーシステムにリモートコマンドを実行したり(RCE)、任意のファイルを読み込むことができる(LFI)脆弱性で、CVSS スコア9.9を割り当てられた深刻な危険度の脆弱性である。
この脆弱性を悪用すると、最も低い権限である Viewer 権限でもサーバーに任意のコマンドを実行する、または特定のファイル内容を確認することができる。
脆弱対象は、Grafana v11.x バージョンがインストールされた環境に DuckDB が環境変数を通じてアクセス可能な場合である。脆弱性を誘発する機能は最近のバージョンから追加されており、「DuckDB」のインストールという前提条件があるため、実際の攻撃にさらされたサーバーの数は限定的であるものと見られる。しかし、リモートコマンドの実行およびファイルの窃取が可能であり、PoC コードが公開されているためすぐに攻撃に悪用されるおそれがあり、注意が必要である。
ASEC(AhnLab SEcurity intelligence Center)では、当社の顧客が脆弱性の脅威にさらされている状況を把握するため、ASM サービスを通じて韓国国内で運用中の Grafana サーバーに対する脆弱性の有無を調査した。
韓国国内で運用中の Grafana サーバー2285個が確認され、そのうち2168個のサーバーのバージョン情報が確認された。その中で、最新バージョンではない旧バージョン(脆弱性の対象となるバージョン、およびそれ以下のバージョン)を使用しているサーバーは2147個であり、99%が長期間アップデートを行わずに運用されている。CVE-2024-9264 脆弱性の対象バージョンである v11.x を使用しているサーバーは674個、31%と確認された。相当数が韓国企業であることが確認され、大学(院)も多数確認された。
| IP | Port | Grafana Version | Domain |
| 210.127.*.168 | 3000 | Grafana v11.0.0 | main-firewall.*************.net |
| 133.186.*.166 | 3000 | Grafana v11.0.0 | ops.*************.co.kr |
| 211.35.*.195 | 53000 | Grafana v11.0.1 | www.*******.co.kr |
| 211.239.*.9 | 80 | Grafana v11.1.3 | app2.*******.co.kr |
| 115.165.*.231 | 8000 | Grafana v11.2.0 | *******.co.kr |
| 183.107.*.52 | 3000 | Grafana v11.0.1 | www.*******.com |
| 218.153.*.217 | 3000 | Grafana v11.1.4 | pay.******.com |
| 1.214.*.250 | 30002 | Grafana v11.2.0 | vpn.**************.co.kr |
| 141.223.*.78 | 55556 | Grafana v11.2.0 | an*els.*******.ac.kr |
| 115.41.*.196 | 6377 | Grafana v11.0.1 | stbt.****.co.kr |
| 58.234.*.82 | 9256 | Grafana v11.1.0 | ze**en.************.net |
| 165.246.*.44 | 3000 | Grafana v11.0.0 | a*x.****.ac.kr |
| 210.220.*.72 | 3000 | Grafana v11.1.3 | bsm.***********.com |
CVE-2024-9264
Grafana v11.0.0 バージョンから SQL 式を実行できる機能が追加された。この機能において SQL クエリを適切にフィルタリングしなかったことにより、DuckDB CLI にユーザー入力データが含まれたコマンドが伝達され、その実行結果を得ることができる。read_text、read_csv、read_blob などの SQL 関数の実行が可能となり、ローカルファイルのパスを引数として渡して、当該ファイルの内容を取得することができる。
COPY – TO クエリでシステムに任意の内容のファイルを生成することができ、追加パッケージのインストールコマンドを伝達してシェルコマンドを実行することもできる。コマンドが作成されたファイルを書き込み、当該ファイルを読み込んで、シェルコマンドで実行する方式により任意のコマンドを実行できる。
テスト環境では、追加の設定を行わなくとも脆弱なバージョンの Grafana と DuckDB をインストールするだけで、脆弱性の再現が可能であった。Grafana v11.x バージョンと DuckDB を使用している環境の場合、直ちに最新バージョンへのアップデートを実行する必要がある。パッチが困難な環境の場合、DuckDB 実行ファイルを削除するか、環境変数パスから除外する方式により緩和措置が可能である。
本記事で紹介した脆弱性は、任意のコマンドが実行されたり、重要なファイルが流出するおそれがあり、悪用されると甚大な被害が予想される。脆弱なバージョンのままで運用を続けた場合、攻撃対象としてさらされる可能性があるため、被害を予防するためにも直ちに最新のパッチを適用する必要がある。
この事例以外にも、攻撃者は様々な有名製品の既知の脆弱性を悪用して攻撃を試みる。使用中のサービスは常に最新バージョンを維持する必要があり、各種セキュリティ設定を通じて攻撃者の脆弱性スキャンおよび攻撃を防御するべきである。また、国内外のセキュリティ勧告を日頃から確認し、対象となるサービスを運用している場合は迅速な措置とともに、被害状況をチェックする必要がある。
ASEC では、ブログを通じて主な脆弱性に関するセキュリティ勧告文を掲載しており、AhnLab TIP サービスに加入している顧客のうち脆弱性の対象となるサービスを運用している企業が確認された場合、別途カスタマイズレポートを提供している。当社の顧客の脆弱情報が外部にさらされないようにし、安全にサービスを運用できるように、非公開で該当顧客にのみ提供するサービスである。
Ahnlab セキュリティ勧告文
[セキュリティ勧告文] Grafana セキュリティアップデートの勧告(CVE-2024-9264)
https://asec.ahnlab.com/ko/83990/(韓国語にて提供)
関連リンク
https://nvd.nist.gov/vuln/detail/CVE-2024-9264(外部サイト、英語にて提供)
https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/(外部サイト、英語にて提供)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: 脆弱性