Mới đây, Grafana Labs đã phát hành các bản cập nhật mới cho phần mềm mã nguồn mở Grafana để khắc phục lỗ hổng zero-day sau khi thông tin chi tiết và mã khai thác của lỗ hổng được tiết lộ công khai.
Lỗ hổng path traversal (mã CVE-2021-43798, CVSS:7.5), được đánh giá mức độ cao, cho phép đối tượng tấn công truy cập trái phép vào các tệp/thư mục nhạy cảm trên máy chủ như tệp /etc/passwd/, ảnh hưởng đến các phiên bản Grafana từ 8.0.0-beta1 đến 8.3.0.
Lỗ hổng đã được khắc phục trong các phiên bản Grafana 8.3.1, 8.2.7, 8.1.8 và 8.0.7.
Grafana Labs cho biết các phiên bản Grafana Cloud không bị ảnh hưởng bới lỗ hổng.
Vấn đề nằm ở đường dẫn URL của các plugin đã cài đặt.Tất cả các phiên bản Grafana đều có một bộ plugin được cài đặt theo mặc định, nên đường dẫn URL dễ bị tấn công tồn tại trong mọi phiên bản của ứng dụng.
Grafana Labs đã nhận được báo cáo về lỗ hổng vào cuối tuần trước, ngày 3 tháng 12, và đưa ra bản vá lỗi ngay trong ngày.
Nhà phát triển đã lên kế hoạch phát hành cho khách hàng cá nhân vào ngày 7 tháng 12 và phát hành một phiên bản công khai vào ngày 14 tháng 12.
Một báo cáo khác cho thấy chi tiết kỹ thuật và mã khai thác lỗ hổng đã được công khai trên Twitter và GitHub trước khi các bản cập nhật được phát hành công khai cho người dùng.
Lỗ hổng vẫn có thể khai thác được trên các máy chủ chưa cập nhật bản vá. Để tránh các nguy cơ bị khai thác tấn công, người dùng nên kiểm tra và cập nhật lên các phiên bản không bị ảnh hưởng ngay khi có thể.
Theo các báo cáo công khai, có hàng nghìn máy chủ Grafana đang được kết nối ra internet công cộng. Nếu không thể cập nhật bản vá, bạn nên có các biện pháp để ngăn chặn các truy cập từ mạng bên ngoài vào máy chủ.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Sàn giao dịch tiền điện tử BitMart đã tiết lộ về một "vi phạm bảo mật lớn" mà họ cho là do khóa cá nhân bị đánh cắp, dẫn đến thiệt hại hơn 150 triệu đô tiền điện tử.
Tín nhiệm mạng | Những người đang tìm cách kích hoạt Windows mà không sử dụng giấy phép hợp lệ hoặc “key” sản phẩm đang bị nhắm mục tiêu bởi những kẻ phát tán mã độc CryptBot.
Tín nhiệm mạng | Endicott, thành viên thứ sáu của một nhóm tội phạm mạng quốc tế có tên The Community đã bị kết án liên quan đến một âm mưu hoán đổi SIM trị giá hàng triệu đô la
Tín nhiệm mạng | Meta thông báo mở rộng người dùng cho chương trình bảo mật Facebook Protect, bao gồm những người bảo vệ nhân quyền, nhà hoạt động, nhà báo,...
Tín nhiệm mạng | Mã độc Emotet đang được phát tán thông qua một ứng dụng giả mạo phần mềm Adobe PDF trên App Installer, một tính năng được tích hợp sẵn trên Windows 10 và 11.
Tín nhiệm mạng | XDR Cynet đã xây dựng một trung tâm minisite mới để cung cấp cho các nhóm bảo mật CNTT nhỏ không gian nghiên cứu, chia sẻ kinh nghiệm, thành tựu và chiến lược.