Se ha descubierto una vulnerabilidad de seguridad crítica (CVE-2024-9264) en Grafana, la popular plataforma de código abierto para monitoreo y observabilidad. Esta vulnerabilidad, con una puntuación CVSS v3.1 de 9.9, podría permitir a atacantes ejecutar código arbitrario en los sistemas afectados, lo que podría llevar a una posible toma de control total del sistema.
El fallo proviene de una característica experimental llamada “Expresiones SQL”, que permite a los usuarios procesar consultas de fuentes de datos utilizando SQL. Según el aviso de seguridad emitido por Grafana Labs, “estas consultas SQL no se sanitizaron completamente, lo que resultó en una vulnerabilidad de inyección de comandos y de inclusión de archivos locales”.
Esto significa que los actores maliciosos podrían crear consultas que escapen del contexto SQL previsto y ejecuten comandos del sistema o accedan a archivos sensibles en el servidor. Lo más preocupante es que, según el aviso, “cualquier usuario de Grafana con permisos de Viewer o superiores es capaz de ejecutar este ataque”.
Grafana Labs explica que “debido a una implementación incorrecta de las banderas de características, esta función experimental está habilitada por defecto para la API”. Esta configuración predeterminada, combinada con la disponibilidad del binario DuckDB en el PATH del sistema, hace que el entorno sea vulnerable a ataques. Sin embargo, es importante destacar que el binario DuckDB no viene empaquetado con Grafana por defecto, lo que significa que solo las instancias donde DuckDB esté instalado y sea accesible a través del PATH son explotables.
Grafana Labs ha actuado rápidamente para abordar la vulnerabilidad CVE-2024-9264, lanzando versiones parcheadas para todas las versiones afectadas de Grafana 11. Se insta encarecidamente a los usuarios a actualizar a una versión corregida de inmediato:
• 11.0.5+security-01 (solo corrección de seguridad)
• 11.1.6+security-01 (solo corrección de seguridad)
• 11.2.1+security-01 (solo corrección de seguridad)
• 11.0.6+security-01 (incluye nuevas funciones y corrección de seguridad)
• 11.1.7+security-01 (incluye nuevas funciones y corrección de seguridad)
• 11.2.2+security-01 (incluye nuevas funciones y corrección de seguridad)
El aviso subraya: “Si tu instancia es vulnerable, recomendamos encarecidamente actualizar a una de las versiones parcheadas de Grafana lo antes posible”.
Como medida de mitigación temporal, Grafana Labs recomienda eliminar el binario DuckDB del PATH del sistema o desinstalarlo por completo para reducir el riesgo hasta que se realice la actualización.
Es crucial actuar de inmediato para proteger tu entorno de esta grave vulnerabilidad.