🛡 概要
2025年に発見されたCVE-2025-4123は、46,000以上のインターネットに公開されたGrafanaインスタンスが未修正のまま残っている深刻な脆弱性です。この脆弱性は、クライアントサイドのオープンリダイレクトを利用し、悪意のあるプラグインを実行することでアカウントの乗っ取りを可能にします。Grafanaはインフラやアプリケーションのメトリクスを可視化するためのオープンソースプラットフォームであり、多くの企業に利用されていますが、脆弱性が存在する状態で運用されていることは非常に危険です。
🔍 技術詳細
CVE-2025-4123は、クライアントサイドのパス・トラバーサルとオープンリダイレクトのメカニズムを組み合わせた一連の悪用手順を通じて、攻撃者が被害者を悪意のあるリンクをクリックさせることを可能にします。研究者によると、この脆弱性を利用することで、ユーザーのブラウザ内で任意のJavaScriptを実行することができます。また、エクスプロイトは特権を必要とせず、匿名アクセスが有効な場合でも機能するため、リスクは高まります。さらに、Grafana Image Rendererプラグインがインストールされている場合、サーバーサイドリクエストフォージェリ(SSRF)を使用して内部リソースを読み取ることも可能です。
⚠ 影響
この脆弱性は、ユーザーセッションの乗っ取りやアカウント認証情報の変更を許可します。特に、悪意のあるプラグインを通じてユーザーのメールアドレスを変更することで、パスワードリセットを通じたアカウントの乗っ取りが容易になります。研究者たちは、128,864のインスタンスの中で、46,506のインスタンスが未修正の状態で残っており、約36%が依然として脆弱であると報告しています。この状況は、特に脆弱なインスタンスが多く存在することから、攻撃者にとって重要な攻撃対象となります。
🛠 対策
Grafanaの管理者は、リスクを軽減するために、バージョン10.4.18+security-01、11.2.9+security-01、11.3.6+security-01、11.4.4+security-01、11.5.4+security-01、11.6.1+security-01、12.0.0+security-01にアップグレードすることを強く推奨します。さらに、デフォルトのコンテンツセキュリティポリシー(CSP)が提供する保護機能を考慮しつつ、クライアントサイドのエクスプロイトを防ぐための対策を講じることが重要です。特に、ユーザーのインタラクションやアクティブなユーザーセッションが必要であるため、ユーザー教育も重要な要素となります。
