• گیلان، رشت
  • شنبه تا پنجشنبه: 8:00 صبح تا 21:00 عصر
  • info@RootNet.ir
ما را دنبال کنید:
Linkedin-in Instagram
021-74391690

آسیب‌پذیری Grafana CVE-2025-41115

آسیب‌پذیری Grafana CVE-2025-41115
24 بازدید

آسیب‌پذیری بحرانی CVE-2025-41115 در Grafana: نحوه بهره‌برداری، تأثیرات، مثال‌ها و روش‌های دفاع

آسیب‌پذیری جدیدی با شناسه CVE-2025-41115 و شدت Critical – امتیاز CVSS: 10.0 در قابلیت SCIM Provisioning در Grafana Enterprise کشف شده است. این نقص امنیتی در نسخه‌های 12.0.0 تا 12.2.1 مشاهده شده و امکان Privilege Escalation و حتی Impersonation کامل کاربران با دسترسی ادمین را فراهم می‌کند. اهمیت این آسیب‌پذیری زمانی بیشتر می‌شود که درک کنیم SCIM یکی از مکانیزم‌های کلیدی برای اتوماسیون مدیریت هویت در سازمان‌هاست و هرگونه نقص در آن می‌تواند به تسلط کامل بر محیط مانیتورینگ و داده‌های حساس منجر شود.

برخلاف بسیاری از حملات متداول که نیازمند اجرای کد یا تزریق Script هستند، این آسیب‌پذیری صرفاً از طریق دست‌کاری External ID و سوءاستفاده از نحوه نگاشت User Mapping داخلی Grafana قابل بهره‌برداری است. بنابراین حتی سازمان‌هایی که لایه‌های امنیتی قوی دارند نیز در صورت فعال بودن SCIM ممکن است تحت تأثیر قرار بگیرند.

ماهیت آسیب‌پذیری: ایراد در Identity Mapping و تخصیص امتیاز

مشکل اصلی از جایی آغاز می‌شود که SCIM به‌طور نادرست ExternalID را با UID داخلی کاربران گرافانا هم‌تراز می‌کند. اگر مهاجم یا SCIM Client مخرب بتواند یک External ID عددی ارسال کند که با شماره UID یک Admin واقعی برابری داشته باشد، سیستم به اشتباه آن کاربر را Admin در نظر می‌گیرد.

نتیجه؟

مهاجم می‌تواند:

  • سطوح دسترسی ادمین را بدون اجازه دریافت کند

  • خود را کاملاً به‌جای کاربر ادمین جا بزند

  • Dashboardها، Data Sourceها، Alertها و Token‌ها را تغییر دهد

  • دسترسی سازمان به سیستم مانیتورینگ را به‌طور کامل تسخیر کند

این موضوع به ویژه در سازمان‌هایی که از Grafana برای مانیتورینگ شبکه، سرورها، SIEM، Alerting و محیط‌های تولیدی استفاده می‌کنند، تهدید بسیار جدی محسوب می‌شود.

شرایط لازم برای بهره‌برداری (Exploit Prerequisites)

این آسیب‌پذیری تنها زمانی فعال می‌شود که هر دو شرط زیر برقرار باشند:

enableSCIM = true

auth.scim.user_sync_enabled = true

در غیر این صورت سیستم نسبت به حمله ایمن است.

همچنین لازم است SCIM Client بتواند درخواست Provisioning ارسال کند. این کلاینت می‌تواند:

  • یک کلاینت سازمانی اشتباه پیکربندی‌شده

  • یک سرویس مورد حمله قرار گرفته

  • یا یک مهاجم با دسترسی محدود در شبکه داخلی

باشد.

مثال واقعی از نحوه سوءاستفاده (Exploit Scenario)

فرض کنید یک کاربر ادمین واقعی در Grafana دارای UID زیر باشد:

UID: 4
Email: admin@company.com

مهاجم با استفاده از SCIM یک کاربر جدید Provision می‌کند:

POST /api/scim/Users
{
"userName": "attacker",
"externalId": "4",
...
}

در نسخه‌های آسیب‌پذیر، Grafana این externalId را به‌عنوان UID معتبر تشخیص داده و کاربر را با دسترسی ادمین واقعی می‌سازد.

نتیجه حمله:

  • دسترسی کامل به داشبوردهای مانیتورینگ

  • امکان خواندن هر Credential ذخیره‌شده

  • تغییر یا حذف Data Sourceها

  • ساخت API Tokenهای جدید

  • غیرفعال کردن یا دستکاری Alertهای مهم امنیتی

این یعنی کنترل کامل سیستم مانیتورینگ سازمان.

تأثیرات امنیتی برای سازمان‌ها

🔴 ۱) تسلط کامل بر Grafana

مهاجم می‌تواند به تمام داده‌های تولید، شبکه یا SIEM که از طریق Grafana نمایش داده می‌شود دسترسی پیدا کند.

🔴 ۲) حملات زنجیره‌ای

Grafana معمولاً به دیتابیس‌ها، Prometheus، Loki، Elastic و Cloud Metric APIها وصل است.
بنابراین مهاجم ممکن است بتواند از این سطح دسترسی برای حملات گسترده‌تر استفاده کند.

🔴 ۳) فرار از شناسایی

SCIM Provisioning معمولاً در جریان CI/CD و HR داخلی انجام می‌شود، بنابراین بسیاری از سازمان‌ها به‌صورت پیش‌فرض به SCIM اعتماد دارند.

این باعث می‌شود مهاجم به‌سادگی از آلارم‌ها عبور کند.

🔴 ۴) دسترسی به Tokenها و Secrets

Grafana اغلب کلیدهای API و Tokenهای حساس سرویس‌ها را ذخیره می‌کند.

وصله‌های منتشر شده (Patched Releases)

نسخه‌های زیر در تاریخ 19 نوامبر 2025 منتشر و اصلاح شدند:

  • Grafana Enterprise 12.3.0

  • 12.2.1

  • 12.1.3

  • 12.0.6

کاربرانی که روی Grafana Cloud، Amazon Managed Grafana یا Azure Managed Grafana هستند، قبلاً وصله‌ها را دریافت کرده‌اند.

راهکارهای کاهش آسیب (Mitigation)

در صورت عدم امکان به‌روزرسانی فوری:

1) غیرفعال کردن SCIM Provisioning

enableSCIM = false

2) غیرفعال کردن User Sync

auth.scim.user_sync_enabled = false

3) بررسی لاگ‌ها:

  • ایجاد کاربرهای جدید

  • تغییر User Mapping

  • ExternalIDهای عددی مشکوک

توصیه‌های امنیتی Rootnet برای سازمان‌ها

برای جلوگیری از حملات مشابه:

✔ بررسی دوره‌ای SCIM Clientها

✔ محدود کردن دسترسی شبکه SCIM

✔ استفاده از WAF برای نظارت روی APIهای SCIM

✔ فعال کردن Audit Logging پیشرفته

✔ استفاده از Zero Trust در Identity Management

✔ انجام PenTest روی مسیرهای SSO و SCIM

Rootnet همچنین خدمات زیر را ارائه می‌دهد:

🔹 ارزیابی امنیتی Grafana

🔹 استقرار امن SCIM/SSO

🔹 تست نفوذ API

🔹 Hardening کامل Dashboard و زیرساخت مانیتورینگ

🔹 مانیتورینگ مدیریت‌شده امنیتی (MDR)

جمع‌بندی

CVE-2025-41115 یکی از جدی‌ترین آسیب‌پذیری‌های مربوط به مدیریت هویت در Grafana است.
این نقص بدون نیاز به Exploit پیشرفته، صرفاً با تغییر یک شناسه عددی، دسترسی کامل ادمین را برای مهاجم ایجاد می‌کند.

سازمان‌ها باید فوراً نسخه‌های آسیب‌پذیر را به نسخه‌های امن ارتقا دهند و تنظیمات SCIM را بازبینی کنند.

Post Views: 31

مرتبط پست

Mean Time to

129 بازدید

Apple Vision Pro:

115 بازدید

هشدار ساتیا نادلا:

113 بازدید

دیدگاه ها بسته هستند