コンテンツにスキップするには Enter キーを押してください

Grafanaの2つのプラグインの脆弱性によりDevOpsの制御が奪われる可能性

投稿日 2025年8月14日

ユーザーは攻撃者によるGrafanaインスタンスの管理者権限取得を防ぐため、SQLiteおよびInfinityプラグインで更新された設定を構成する必要があります。

現在は修正済みのGrafanaのプラグインアーキテクチャに存在した2つの重大な脆弱性により、攻撃者が組織のオブザーバビリティインスタンスを完全に制御できる可能性がありました。

Grafanaはメトリクス、ログ、トレースの可視化に広く使われているDevOps向けオブザーバビリティプラットフォームであり、問題となった2つのプラグイン、SQLite(ローカルデータへのアクセス用)とInfinity(リモートソースからのデータ取得用)は、その統合機能を拡張します。

Cycodeの研究者は、ローカルおよび外部ソースからデータを取得するこれらのプラグインが、機密性の高い認証情報や内部クラウドインフラを露出させる可能性があることを発見しました。

「これらの脆弱性を悪用することで、限定的なアクセス権が瞬時にGrafanaインスタンスの完全な制御権に変わる可能性があります」とCycodeのセキュリティ研究者Elad Pticha氏はCSOに語りました。「Grafanaは広く利用されており、しばしば機密性の高い本番環境の認証情報を保持しているため、このような弱点は高価値な標的となり得ます。」

問題となったのは、1つのプラグインにおけるハードコードされたデフォルトの暗号化キーと、もう1つのプラグインにおける回避可能なURL許可リストであり、いずれも単独でGrafana管理者への権限昇格を許す可能性がありました。

これらの脆弱性は、それぞれのメンテナー(Infinityの場合はGrafana Labs)に報告され、適切な修正が施されたとPticha氏は付け加えました。

一方はSSRFを許し、もう一方は機密キーを露出

1つ目の脆弱性CVE-2025-8341は、InfinityのURL許可リストチェックに潜んでいました。細工されたURLに「@」記号を挿入することで、攻撃者はGrafanaにサーバーサイドリクエスト(SSRF)を内部エンドポイント(クラウドメタデータサービスなど)へ送信させ、通常は到達できないインフラへのトンネルを開くことができました。

「Infinityプラグインは、ユーザーが任意のURLにHTTPリクエストを送り、ヘッダーやパラメータ、ペイロードをカスタマイズすることを可能にします」と研究者らは、木曜日の公開前にCSOと共有したブログ記事で述べています。「『@』より前は認証情報(ユーザー名とパスワード)として扱われ、それ以降が実際の宛先ホストとパスとして解釈されます。私たちは許可されたプレフィックスで始まりながら、実際には異なる宛先にルーティングされるURLを作成しました。」

もう1つの脆弱性は、SQLiteプラグインの広範なファイルシステムアクセスを悪用したものです。Grafanaの公式Dockerイメージにはハードコードされたデフォルトの暗号化キーが同梱されており、そのキーが変更されていないインスタンスは、攻撃者がデータベースにアクセスした場合、完全に侵害される可能性がありました。実際、このアクセスはSQLiteプラグインによって提供されており、Grafanaプロセスが到達可能な任意のSQLiteデータベースファイル(Grafana自身のデータベースファイルを含む)に接続できます。

そこから攻撃者は自身のアカウントを管理者に昇格させ、接続されたシステムの保存済み認証情報を取得し、警告を発することなくより機密性の高い環境へ横展開することが可能となります。

脆弱性は修正済み、だがユーザーの対応が必要

CycodeはCSOに対し、両方の脆弱性がすでに対処されたことを確認しました。SQLiteプラグインには新たにdenyリストGF_PLUGIN_BLOCK_LISTが導入され、Grafana自身のデータベース(grafana.db)を含む特定ファイルへのアクセスが制限されるようになりました。Infinityプラグインも許可されたURLの検証が適切に行われるようになり、明示的に許可されたエンドポイントとのみやり取りが可能となっています。ユーザーは厳格な許可リストを構成し、プラグインのアクセスを認可されたURLのみに制限する必要があります。

しかし、これらの追加設定が直ちに構成されない場合、ユーザーは依然として脆弱なままとなります。「デフォルトのハードコードされた暗号化キーを使用しているGrafanaの導入数を正確に見積もるのは難しいですが、私たちの経験上、セキュリティ機能の手動設定が必要な場合、たいていはそのまま放置されがちです」とPticha氏は指摘しています。

Infinityに影響する脆弱性のみがCVEを取得し、SQLiteはコミュニティメンテナンスのプラグインであり、その開発者Sergej Herbert氏によって修正されました。「SQLiteプラグインのメンテナーもGrafana Labsも、開示プロセスを通じて非常に迅速かつ協力的でした」とPticha氏は付け加えました。

GrafanaはCSOからのコメント要請にすぐには応じませんでした。これは過去3か月で2度目の重大なSSRF脆弱性であり、2025年6月の脆弱性では47,000台のサーバーがアカウント乗っ取りの危険にさらされました。

ニュースレターを購読する

編集部からあなたの受信箱へ

まずは下にメールアドレスを入力してください。

翻訳元: https://www.csoonline.com/article/4039895/flaws-in-a-pair-of-grafana-plugins-could-hand-over-devops-control.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です