Grafana mit DuckDB: SQL Injection CVE-2024-9264 erlaubt auslesen beliebiger Dateien

Am 17. Oktober 2024 wurde die Schwachstelle CVE-2024-9264 bekannt, die eine Post-Authentication SQL Injection in Grafana betrifft. Konkret betrifft die Schwachstelle das experimentelle SQL Expressions-Feature, das DuckDB-Abfragen zulässt, welche Benutzereingaben verarbeiten. Da diese Eingaben unzureichend gefiltert werden, ermöglicht dies eine Befehlseinschleusung und lokale Dateiinclusion. Authentifizierte Benutzer mit mindestens VIEWER-Rechten können über manipulierte Abfragen Dateien aus dem Dateisystem auslesen.

Um diese Schwachstelle auszunutzen, muss die DuckDB-Binary im $PATH von Grafana vorhanden sein, was standardmäßig nicht der Fall ist. Systeme, bei denen DuckDB manuell hinzugefügt wurde, sind jedoch gefährdet. Betroffen sind die Versionen 11.0.0 bis 11.0.5, 11.1.0 bis 11.1.6 und 11.2.0 bis 11.2.1 in den OSS- und Enterprise-Versionen von Grafana.

Ein Proof-of-Concept (PoC) zeigt, dass mit einfachen SQL-Abfragen, wie der Ausführung von SELECT content FROM read_blob("/etc/passwd"), beliebige Dateien ausgelesen werden können. Darüber hinaus können über DuckDB auch Umgebungsvariablen ausgelesen werden, wie etwa SELECT getenv('PATH').

Administratoren wird dringend empfohlen, auf diese Versionen zu aktualisieren oder die DuckDB-Binary aus dem $PATH zu entfernen, um das Risiko eines Angriffs zu minimieren. Da DuckDB standardmäßig nicht installiert ist, ist die Wahrscheinlichkeit einer erfolgreichen Ausnutzung in nicht modifizierten Installationen gering.

Abschließend sei darauf hingewiesen, dass diese Schwachstelle nur bei der aktiven Verwendung von DuckDB in Grafana von Bedeutung ist.

Related Posts

Rancher RKE2: Privilege Escalation in Windows Nodes durch unsichere Access Control Lists

am 24.10.24 wurde eine kritische Schwachstelle (CVE-2023-32197) in RKE2-Deployments auf Windows-Knoten veröffentlicht. Die Schwachstelle betrifft Versionen von github.com/rancher/rke2 und erlaubt es unzureichend gesicherten Access Control Lists (ACL), es den Benutzergruppen BUILTIN\Users und NT AUTHORITY\Authenticated Users zu ermöglichen, sensible Dateien einzusehen oder zu modifizieren. Dies kann zu einer Privilege Escalation führen.

Read More

Sicherheitsrisiko in AWS CDK ermöglicht Kontoübernahme durch fehlerhaft gelöschte S3-Buckets

Am 24. Oktober 2024 veröffentlichte Ofek Itach und Yakir Kadkoda einen umfassenden Bericht, in dem eine neu entdeckte Schwachstelle im AWS Cloud Development Kit (CDK) beschrieben wird. Diese Sicherheitslücke betrifft die Art und Weise, wie das CDK während des sogenannten Bootstrapping-Prozesses S3-Buckets zur Speicherung von Deployment-Assets erstellt. Insbesondere wurde festgestellt, dass das manuelle Löschen dieser Buckets durch Benutzer ein Einfallstor für Angreifer darstellen kann.

Read More

Datenleck bei TÜV und DEKRA: KFZ Gutachten frei im Netz einsehbar

Laut einem Bericht von Günther Born auf seinem Blog Borncity.com wurden Kfz-Gutachten der Prüforganisationen TÜV Rheinland und DEKRA im Internet ohne ausreichenden Schutz abrufbar. Dieser Vorfall, der am 19. Oktober 2024 bekannt wurde, betrifft zahlreiche Kfz-Gutachten, die persönliche Informationen der Fahrzeughalter sowie technische Daten der Fahrzeuge enthielten. Betroffen sind Gutachten, die in Zusammenhang mit Unfallfahrzeugen oder Zustandsbewertungen erstellt wurden.

Read More