Am 17. Oktober 2024 wurde die Schwachstelle CVE-2024-9264 bekannt, die eine Post-Authentication SQL Injection in Grafana betrifft. Konkret betrifft die Schwachstelle das experimentelle SQL Expressions-Feature, das DuckDB-Abfragen zulässt, welche Benutzereingaben verarbeiten. Da diese Eingaben unzureichend gefiltert werden, ermöglicht dies eine Befehlseinschleusung und lokale Dateiinclusion. Authentifizierte Benutzer mit mindestens VIEWER-Rechten können über manipulierte Abfragen Dateien aus dem Dateisystem auslesen.
Um diese Schwachstelle auszunutzen, muss die DuckDB-Binary im $PATH von Grafana vorhanden sein, was standardmäßig nicht der Fall ist. Systeme, bei denen DuckDB manuell hinzugefügt wurde, sind jedoch gefährdet. Betroffen sind die Versionen 11.0.0 bis 11.0.5, 11.1.0 bis 11.1.6 und 11.2.0 bis 11.2.1 in den OSS- und Enterprise-Versionen von Grafana.
Ein Proof-of-Concept (PoC) zeigt, dass mit einfachen SQL-Abfragen, wie der Ausführung von SELECT content FROM read_blob("/etc/passwd"), beliebige Dateien ausgelesen werden können. Darüber hinaus können über DuckDB auch Umgebungsvariablen ausgelesen werden, wie etwa SELECT getenv('PATH').
Administratoren wird dringend empfohlen, auf diese Versionen zu aktualisieren oder die DuckDB-Binary aus dem $PATH zu entfernen, um das Risiko eines Angriffs zu minimieren. Da DuckDB standardmäßig nicht installiert ist, ist die Wahrscheinlichkeit einer erfolgreichen Ausnutzung in nicht modifizierten Installationen gering.
Abschließend sei darauf hingewiesen, dass diese Schwachstelle nur bei der aktiven Verwendung von DuckDB in Grafana von Bedeutung ist.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: