Más de 46.000 instancias de Grafana con conexión a Internet permanecen sin
parchear y expuestas a una vulnerabilidad de redirección abierta del lado del
cliente que permite la ejecución de un complemento malicioso y la apropiación
de cuentas.
La falla, identificada como
CVE-2025-4123, afecta a varias versiones de la plataforma de código abierto utilizada para
la monitorización y visualización de métricas de infraestructura y
aplicaciones.
La
vulnerabilidad fue descubierta
por el cazarrecompensas español
Álvaro Balada
y
se solucionó en las actualizaciones de seguridad que Grafana Labs
publicó el 21 de mayo. Sin embargo, al momento de escribir este artículo, más
de un tercio de todas las instancias de Grafana accesibles a través de
internet público no han sido parcheadas, según investigadores de la empresa de
seguridad de aplicaciones OX Security, quienes se refieren a la falla como
«The Grafana Ghost».
Una cuenta de administrador de Grafana comprometida puede tener graves
consecuencias:
-
Acceso completo a métricas y paneles internos, incluyendo datos operativos
confidenciales, registros e inteligencia empresarial. -
Control de cuentas: los atacantes pueden bloquear usuarios legítimos o
eliminar cuentas. -
Interrupción operativa: sin acceso a herramientas de monitorización, las
organizaciones podrían perder visibilidad de sistemas críticos. - Afecta al 36 % de las instancias públicas de Grafana.
Los analistas
informaron a BleepingComputer
que su trabajo se centró en demostrar la capacidad de utilizar el hallazgo de
Balada como arma. Tras identificar las versiones vulnerables al ataque,
evaluaron la exposición correlacionando los datos con la distribución de la
plataforma en el ecosistema.
Encontraron 128.864 instancias expuestas en línea, de las cuales 46.506 aún
ejecutaban versiones vulnerables que aún podían ser explotadas. Esto
representa un porcentaje cercano al 36%.
El análisis exhaustivo de OX Security sobre CVE-2025-4123 reveló que, mediante
una serie de pasos de explotación que combinan la navegación de rutas del lado
del cliente con mecanismos de redirección abierta, los atacantes pueden
inducir a las víctimas a hacer clic en URL que conducen a la descarga de un
complemento malicioso de Grafana desde un sitio web controlado por el actor de
la amenaza.
Los
investigadores afirman
que los enlaces maliciosos podrían utilizarse para ejecutar JavaScript
arbitrario en el navegador del usuario.
El exploit no requiere privilegios elevados y puede funcionar incluso con
el acceso anónimo habilitado.
La falla permite a los atacantes secuestrar sesiones de usuario, cambiar las
credenciales de las cuentas y, si el plugin Grafana Image Renderer está
instalado, realizar falsificaciones de solicitudes del lado del servidor (SSRF)
para leer recursos internos.
Si bien la Política de Seguridad de Contenido (CSP) predeterminada de Grafana
ofrece cierta protección, no impide su explotación debido a limitaciones en la
aplicación del lado del cliente.
El exploit de OX Security demuestra que CVE-2025-4123 puede explotarse del
lado del cliente y utilizarse para eludir los mecanismos de normalización de
los navegadores modernos mediante la lógica de enrutamiento de JavaScript
nativa de Grafana.
Esto permite a los atacantes explotar inconsistencias en el manejo de URL para
servir plugins maliciosos, que a su vez modifican las direcciones de correo
electrónico de los usuarios, lo que simplifica el secuestro de cuentas
mediante el restablecimiento de contraseñas.
Aunque CVE-2025-4123 requiere varios requisitos de explotación, como la
interacción del usuario, una sesión activa al hacer clic en el enlace y la
activación de la función del complemento (activada por defecto), el gran
número de instancias expuestas y la ausencia de autenticación crean una
importante superficie de ataque.
Para mitigar el riesgo de explotación, se recomienda a los administradores
de Grafana actualizar a las versiones 10.4.18+security-01,
11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01,
11.5.4+security-01, 11.6.1+security-01 y 12.0.0+security-01.
Fuente:
BC
|
OX.Security