¡Actualiza ya! Vulnerabilidad crítica de RCE en Grafana (CVE-2024-9264)

oma
Hackean a OMA: Un análisis de los errores de seguridad
19 de octubre de 2024
SP 800-63-4
Nuevas reglas de NIST para el uso de contraseñas: ¿El fin de las políticas inútiles?
19 de octubre de 2024
Ver todo

Se ha descubierto una vulnerabilidad de seguridad crítica (CVE-2024-9264) en Grafana, la popular plataforma de código abierto para monitoreo y observabilidad. Esta vulnerabilidad, con una puntuación CVSS v3.1 de 9.9, podría permitir a atacantes ejecutar código arbitrario en los sistemas afectados, lo que podría llevar a una posible toma de control total del sistema.

El fallo proviene de una característica experimental llamada “Expresiones SQL”, que permite a los usuarios procesar consultas de fuentes de datos utilizando SQL. Según el aviso de seguridad emitido por Grafana Labs, “estas consultas SQL no se sanitizaron completamente, lo que resultó en una vulnerabilidad de inyección de comandos y de inclusión de archivos locales”.

Esto significa que los actores maliciosos podrían crear consultas que escapen del contexto SQL previsto y ejecuten comandos del sistema o accedan a archivos sensibles en el servidor. Lo más preocupante es que, según el aviso, “cualquier usuario de Grafana con permisos de Viewer o superiores es capaz de ejecutar este ataque”.

Grafana Labs explica que “debido a una implementación incorrecta de las banderas de características, esta función experimental está habilitada por defecto para la API”. Esta configuración predeterminada, combinada con la disponibilidad del binario DuckDB en el PATH del sistema, hace que el entorno sea vulnerable a ataques. Sin embargo, es importante destacar que el binario DuckDB no viene empaquetado con Grafana por defecto, lo que significa que solo las instancias donde DuckDB esté instalado y sea accesible a través del PATH son explotables.

Actualización recomendada

Grafana Labs ha actuado rápidamente para abordar la vulnerabilidad CVE-2024-9264, lanzando versiones parcheadas para todas las versiones afectadas de Grafana 11. Se insta encarecidamente a los usuarios a actualizar a una versión corregida de inmediato:

• 11.0.5+security-01 (solo corrección de seguridad)

• 11.1.6+security-01 (solo corrección de seguridad)

• 11.2.1+security-01 (solo corrección de seguridad)

• 11.0.6+security-01 (incluye nuevas funciones y corrección de seguridad)

• 11.1.7+security-01 (incluye nuevas funciones y corrección de seguridad)

• 11.2.2+security-01 (incluye nuevas funciones y corrección de seguridad)

El aviso subraya: “Si tu instancia es vulnerable, recomendamos encarecidamente actualizar a una de las versiones parcheadas de Grafana lo antes posible”.

Medidas de mitigación temporales

Como medida de mitigación temporal, Grafana Labs recomienda eliminar el binario DuckDB del PATH del sistema o desinstalarlo por completo para reducir el riesgo hasta que se realice la actualización.

Es crucial actuar de inmediato para proteger tu entorno de esta grave vulnerabilidad.

Artículos relacionados

19 de octubre de 2024

El caso de los hackers que vende biométricos del INE y datos bancarios

Leer más
oma
19 de octubre de 2024

Hackean a OMA: Un análisis de los errores de seguridad

Leer más
safari vulnerability
18 de octubre de 2024

Microsoft Revela Vulnerabilidad en macOS que elude los controles de privacidad en Safari

Leer más
Ciberdelincuente arrestado por el FBI tras comprometer la cuenta de la SEC en X
18 de octubre de 2024

Ciberdelincuente arrestado por el FBI tras hackear la cuenta de la SEC en X

Leer más
18 de octubre de 2024

¿Reemplazará la inteligencia artificial a los analistas de ciberseguridad?

Leer más
17 de octubre de 2024

Inyectan malware en cheats atacando motores de videojuegos basados en Lua

Leer más