46.000'den fazla internete bakan Grafana örneği, kötü niyetli bir eklenti ve hesap devralma yürütülmesini sağlayan bir istemci tarafı açık yönlendirme güvenlik açığına maruz kalmaya devam ediyor.
Kusur, CVE-2025-4123 olarak izlenir ve altyapı ve uygulama metriklerini izlemek ve görselleştirmek için kullanılan açık kaynak platformunun birden fazla sürümünü etkiler.
Güvenlik açığı, Bug Bounty Hunter Alvaro Balada tarafından keşfedildi ve Grafana Labs'ın 21 Mayıs'ta yayınlandığı güvenlik güncellemelerinde ele alındı.
Bununla birlikte, bunu yazarken, hatayı 'Grafana Hayalet' olarak adlandıran Delication Security Company Ox Security'deki araştırmacılara göre, kamuya açık internet üzerinden ulaşılabilecek tüm grafana örneklerinin üçte birinden fazlası yamalı olmamıştır.
Analistler, BleepingComputer'a çalışmalarının Balada'nın bulgusunu silahlandırma yeteneğini göstermeye odaklandığını söyledi.
Saldırıya karşı savunmasız versiyonları belirledikten sonra, verileri platformun ekosistemdeki dağılımı ile ilişkilendirerek maruz kalmayı düşündüler.
Çevrimiçi olarak maruz kalan 128.864 örneği buldular ve 46.506 hala sömürülebilen savunmasız versiyonlar yürüttüler. Bu yaklaşık%36'lık bir yüzdeye karşılık gelir.
Ox Security’nin CVE-2025-4123'ün derinlemesine analizi, müşteri tarafı yolu geçişi açık yönlendirme mekaniğiyle birleştiren bir dizi sömürü aşamasıyla, saldırganların kurbanları tehdit oyuncusu tarafından kontrol edilen bir siteden kötü niyetli bir grafana eklentisini yüklemeye yol açabileceğini ortaya çıkardı.
Araştırmacılar, kötü niyetli bağlantıların kullanıcının tarayıcısında keyfi JavaScript yürütmek için kullanılabilir.
İstismar yüksek ayrıcalıklar gerektirmez ve anonim erişim etkin olsa bile işlev görebilir.
Kusur, saldırganların kullanıcı oturumlarını ele geçirmesine, hesap kimlik bilgilerini değiştirmesine ve Grafana görüntü oluşturucu eklentisinin yüklendiği durumlarda, dahili kaynakları okumak için sunucu tarafı isteği amptörünü (SSRF) gerçekleştirmesine izin verir.
Grafana'daki Varsayılan İçerik Güvenliği Politikası (CSP) bir miktar koruma sağlarken, müşteri tarafı yaptırımındaki sınırlamalar nedeniyle sömürü önlemez.
Ox Security’nin istismarı, CVE-2025-4123'ün istemci tarafından yararlanabileceğini ve Grafana'ya özgü JavaScript yönlendirme mantığı aracılığıyla modern tarayıcı normalleştirme mekanizmalarını atlamak için kullanılabilir.
Bu, saldırganların kötü amaçlı eklentiler sunmak için URL işleme tutarsızlıklarını kullanmalarına olanak tanır, bu da kullanıcı e -posta adreslerini değiştirir ve şifre sıfırlamaları yoluyla hesap kaçırmayı önemsiz hale getirir.
CVE-2025-4123'ün kullanıcı etkileşimi, kurbanın bağlantıyı tıkladığı aktif bir kullanıcı oturumu ve eklenti özelliğinin etkinleştirilmesi (varsayılan olarak etkinleştirilmesi) gibi çeşitli sömürü gereksinimlerine sahip olsa da, çok sayıda açık örnek ve kimlik doğrulama ihtiyacı önemli bir saldırı yüzeyi yaratır.
Sömürme riskini azaltmak için Grafana yöneticilerinin sürüm 10.4.18+güvenlik-01, 11.2.9+güvenlik-01, 11.3.6+güvenlik-01, 11.4.4+güvenlik-01, 11.5.4+güvenlik-01, 11.6.1+güvenlik-01 ve 12.0+güvenlik-01 ve 12.0+güvenlik-01.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın - karmaşık komut dosyaları gerekmez.
GitLab Yamaları Yüksek Şiddet Hesap Devralma, Eksik Tahmin Sorunları
Trend Micro, birden çok üründeki kritik güvenlik açıklarını düzeltir
Gazetecilere Apple iOS sıfır tıkalı saldırılarda kullanılan grafit casus yazılım
Parola püskürtme saldırıları 80.000 Microsoft Entra ID hesaplarını hedef
Bilgisayar korsanları Windows Webdav Sıfır Gününü Serbest Yazılım Bıraktı
Kaynak: Bleeping Computer