Grafana Labs đã phát hành các bản vá bảo mật quan trọng để xử lý hai lỗ hổng đáng kể. Các lỗ hổng này có thể cho phép kẻ tấn công chuyển hướng người dùng đến các trang web độc hại và thực thi mã tùy ý trong môi trường bảng điều khiển (dashboard).
Bản cập nhật bảo mật này giải quyết CVE-2025-6023, một lỗ hổng Cross-Site Scripting (XSS) mức độ nghiêm trọng cao, và CVE-2025-6197, một lỗ hổng Open Redirect mức độ trung bình. Cả hai lỗ hổng đều được phát hiện thông qua chương trình săn lỗi nhận thưởng của công ty, nhấn mạnh hiệu quả của việc khuyến khích các nhà nghiên cứu bảo mật tìm kiếm và báo cáo các điểm yếu tiềm tàng trong hệ thống.
Chi tiết các lỗ hổng bảo mật được vá
CVE-2025-6023: Lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng
Lỗ hổng CVE-2025-6023 là một trong những điểm yếu nghiêm trọng hơn, được phân loại là một vectơ tấn công Cross-Site Scripting (XSS). Lỗ hổng này khai thác cơ chế client path traversal và open redirect trong chức năng scripted dashboards của Grafana. Điều này có nghĩa là kẻ tấn công có thể thao túng các đường dẫn URL để chèn và thực thi mã JavaScript độc hại trong ngữ cảnh trình duyệt của người dùng.
Lỗ hổng này được gán điểm CVSS 7.6, cho thấy mức độ nghiêm trọng cao và tiềm năng gây thiệt hại đáng kể. Một trong những đặc điểm đáng lo ngại nhất của lỗ hổng này là nó không yêu cầu quyền Editor để khai thác. Khi quyền truy cập ẩn danh (anonymous access) được bật trên một phiên bản Grafana, lỗ hổng XSS này có thể được khai thác ngay lập tức.
Trong một kịch bản tấn công thành công, kẻ tấn công có thể chuyển hướng người dùng bị lừa đến các trang web độc hại. Tại các trang web này, mã JavaScript tùy ý có thể được thực thi trong trình duyệt của nạn nhân. Mặc dù kẻ tấn công không cần truy cập trực tiếp vào phiên bản Grafana để tạo các payload độc hại, nạn nhân cần phải được xác thực với ít nhất quyền Viewer để việc thực thi mã JavaScript tùy ý diễn ra thành công.
Đối với người dùng Grafana Cloud, lỗ hổng này có ảnh hưởng đáng kể do sự thiếu vắng chỉ thị connect-src trong chính sách Content-Security-Policy (CSP) của họ. Chỉ thị connect-src là một thành phần quan trọng của CSP, được thiết kế để kiểm soát các nguồn mà từ đó trình duyệt có thể tải tài nguyên, bao gồm các tệp JavaScript. Việc thiếu chỉ thị này cho phép kẻ tấn công tìm nạp tài nguyên JavaScript bên ngoài từ các máy chủ độc hại, vượt qua các biện pháp bảo vệ thông thường.
Nếu khai thác thành công, các hậu quả tiềm tàng bao gồm đánh cắp phiên làm việc (session hijacking), cho phép kẻ tấn công chiếm quyền điều khiển phiên hoạt động của người dùng hợp lệ, hoặc thậm chí là chiếm đoạt hoàn toàn tài khoản (complete account takeover), dẫn đến mất quyền kiểm soát hoàn toàn đối với tài khoản Grafana của nạn nhân và dữ liệu liên quan.
CVE-2025-6197: Lỗ hổng Open Redirect mức trung bình
Lỗ hổng CVE-2025-6197 được đánh giá ở mức độ trung bình với điểm CVSS 4.2. Lỗ hổng này bắt nguồn từ các điểm yếu trong chức năng chuyển đổi tổ chức (organization switching functionality) của Grafana. Lỗ hổng Open Redirect cho phép kẻ tấn công điều khiển người dùng chuyển hướng từ một URL hợp pháp sang một URL độc hại hoặc không mong muốn.
Việc khai thác lỗ hổng này đòi hỏi các điều kiện cụ thể phải được đáp ứng:
- Phiên bản Grafana phải được cấu hình để hỗ trợ nhiều tổ chức (multiple organizations).
- Người dùng mục tiêu phải là thành viên của cả hai tổ chức liên quan đến thao tác chuyển đổi tổ chức được kẻ tấn công nhắm đến.
- Kẻ tấn công phải biết ID tổ chức mà người dùng hiện đang xem.
Mặc dù lỗ hổng này có thể dẫn đến các cuộc tấn công lừa đảo (phishing) hoặc chuyển hướng người dùng đến các trang web chứa mã độc, mức độ nghiêm trọng của nó được giảm nhẹ bởi các điều kiện khai thác phức tạp hơn so với lỗ hổng XSS.
Điều quan trọng cần lưu ý là người dùng Grafana Cloud không bị ảnh hưởng bởi lỗ hổng cụ thể này. Lý do là dịch vụ đám mây của Grafana không hỗ trợ tính năng “Organizations” theo cách mà lỗ hổng này khai thác, do đó loại bỏ vectơ tấn công tiềm năng.
Các phiên bản bị ảnh hưởng và biện pháp khắc phục
Grafana Labs đã phản ứng nhanh chóng bằng cách phát hành các bản vá bảo mật cho một loạt các phiên bản. Các phiên bản đã được vá bao gồm:
- Grafana 12.0.x
- Grafana 11.6.x
- Grafana 11.5.x
- Grafana 11.4.x
- Grafana 11.3.x
Các lỗ hổng này được phát hiện bởi các nhà nghiên cứu bảo mật Hoa X. Nguyen từ OPSWAT và Dat Phung, thông qua chương trình săn lỗi nhận thưởng của Grafana Labs. Điều này một lần nữa khẳng định giá trị của việc cộng tác với cộng đồng an ninh để tăng cường bảo mật sản phẩm.
Đối với các tổ chức chưa thể nâng cấp ngay lập tức lên các phiên bản đã vá, Grafana khuyến nghị áp dụng các biện pháp giảm thiểu tạm thời. Các biện pháp này bao gồm việc triển khai cấu hình Content Security Policy (CSP) tùy chỉnh để hạn chế các nguồn tài nguyên mà trình duyệt có thể tải, hoặc chặn các mẫu URL cụ thể có thể được sử dụng trong các cuộc tấn công khai thác. Việc cấu hình CSP một cách chặt chẽ có thể giúp ngăn chặn việc thực thi mã độc từ các nguồn không đáng tin cậy, đặc biệt là trong trường hợp của lỗ hổng XSS.
Khuyến nghị và tầm quan trọng của cập nhật bảo mật
Hai lỗ hổng được công bố gần đây nhấn mạnh tầm quan trọng thiết yếu của việc duy trì các cài đặt Grafana được cập nhật liên tục và triển khai các chính sách bảo mật mạnh mẽ. Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, việc giữ cho phần mềm luôn được vá lỗi là một trong những biện pháp phòng thủ cơ bản và hiệu quả nhất.
Phản ứng nhanh chóng của Grafana Labs, bao gồm việc công bố phối hợp với các nhà cung cấp dịch vụ đám mây và thông báo trước cho khách hàng, minh chứng cho các thực hành quản lý lỗ hổng hiệu quả. Cách tiếp cận chủ động này giúp giảm thiểu rủi ro cho người dùng và cho phép các tổ chức có thời gian để chuẩn bị và thực hiện các biện pháp khắc phục cần thiết.
Các tổ chức đang sử dụng Grafana cần ưu tiên nâng cấp lên các phiên bản mới nhất đã được vá bảo mật. Điều này là tối quan trọng để ngăn chặn các nỗ lực khai thác tiềm năng từ các lỗ hổng nghiêm trọng đã được phát hiện. Việc không nâng cấp có thể khiến hệ thống của bạn tiếp xúc với các rủi ro đáng kể, bao gồm việc mất dữ liệu, gián đoạn dịch vụ hoặc bị chiếm đoạt tài khoản.
