28 сентября 2023 года зафиксирована значительная волна попыток эксплуатации уязвимостей, направленных на Grafana. Анализ GreyNoise выявил 110 уникальных IP-адресов, участвовавших в этой активности, с явным фокусом на Соединенные Штаты, Словакию и Тайвань. Большая часть исходила из Бангладеш — 107 из 110 IP — при этом многие с конечными точками в США.
Ключевые факты
- Дата инцидента: 28 сентября 2023 года.
- Количество уникальных IP: 110 (107 из Бангладеш, 2 из Китая, 1 из Германии).
- Географическая цель: преимущественно США, затем Словакия и Тайвань в соотношении примерно 3:1:1.
- Используемые уязвимости: среди прочего задействована старая, но критичная уязвимость CVE-2021-43798, допускающая несанкционированный доступ.
- Индикаторы инструментария: обнаружены по меньшей мере два уникальных HTTP-отпечатка и набор TCP-отпечатков, указывающих на использование нескольких инструментов и трёх направлений таргетинга.
- Характер атак: скоординированный, системный — скорее организованная кампания, чем разрозненные сканирования.
Анализ и выводы
Наблюдаемая конвергенция в моделях таргетинга и инструментарии позволяет сделать несколько обоснованных гипотез:
- либо один оператор использует разнообразную инфраструктуру и набор инструментов для массового сканирования и эксплуатации;
- либо несколько операторов применяют общий набор эксплойтов против одинаковой целевой базы;
- использование старых уязвимостей, в частности CVE-2021-43798, указывает на возможные пробелы в управлении уязвимостями и патч-менеджменте у организаций, эксплуатирующих Grafana;
- включение китайских IP в число «значимых» с сопоставимыми TCP-отпечатками свидетельствует о многоинструментном характере кампании.
«GreyNoise не приписывает эту активность конкретному злоумышленнику, наблюдаемая конвергенция в моделях таргетинга и инструментарии позволяет предположить либо один оператор с разнообразной инфраструктурой, либо несколько операторов, использующих общий набор эксплойтов.»
Последствия для организаций
Скоординированный характер атак повышает риск успешных компрометаций, особенно в средах с устаревшим ПО и недостаточной сегментацией сети. Успешная эксплуатация уязвимостей в Grafana может привести к несанкционированному доступу к мониторинговым данным, утечке конфигураций и возможному продвижению по сети.
Рекомендации по защите
- Немедленно проверить наличие и применить исправления для известных уязвимостей, включая CVE-2021-43798.
- Ограничить доступ к интерфейсу Grafana через IP-фильтрацию, VPN или другие механизмы контроля доступа.
- Внедрить или обновить WAF и IDS/IPS для детекции характерных HTTP/TCP-отпечатков и шаблонов сканирования.
- Провести аудит логов и настроить мониторинг на попытки эксплуатации и необычную активность.
- Регулярно выполнять сканирование на уязвимости и тесты на проникновение, а также поддерживать актуальный процесс патч-менеджмента.
- Обмениваться индикаторами компрометации и информацией об угрозах с сообществом и ресурсами типа GreyNoise.
- План реагирования: подготовить и отработать сценарии инцидентов, включающие изоляцию пострадавших систем и восстановление из резервных копий.
Итог: зафиксированная волна попыток эксплуатации демонстрирует организованный подход злоумышленников и указывает на необходимость срочного укрепления защиты для всех пользователей Grafana, особенно в критически важных инфраструктурах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Координированные атаки на Grafana: CVE-2021-43798 и 110 задействованных IP".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.