Giriş: Panolarınızın Kontrolünü Kaybetmek Üzeresiniz
Veri görselleştirme ve izleme dünyasının devi Grafana Enterprise, tarihinin en kritik güvenlik açıklarından biriyle karşı karşıya. CVE-2025-41115 koduyla izlenen ve 10.0 (Tam Puan) risk seviyesine sahip bu zafiyet, SCIM (System for Cross-domain Identity Management) entegrasyonundaki bir hatadan kaynaklanıyor.
Bu zafiyet, kimlik doğrulaması olmayan bir saldırganın, basit bir API isteği ile kendini sistemde Yönetici (Admin) olarak tanıtmasına ve tüm Grafana altypasını ele geçirmesine olanak tanıyor.
🔍 Saldırı İçeriği: Adım Adım Hesap Ele Geçirme (Account Takeover)
Bu zafiyetin temelinde, Grafana’nın dış kimlik sağlayıcılarından (Okta, Azure AD vb.) gelen kullanıcı senkronizasyon verilerini doğrulama biçimindeki bir eksiklik yatmaktadır.
Saldırı Senaryosu Nasıl İşliyor?
Saldırganlar, Blackash-CVE-2025-41115 olarak bilinen PoC (Proof of Concept) yöntemlerini kullanarak şu adımları izliyor:
- Keşif (Reconnaissance):
Saldırgan, hedef Grafana sunucusunda SCIM özelliğinin açık olup olmadığını kontrol eder. SCIM endpoint’leri genellikle /api/scim/v2/ altında bulunur. Eğer sunucu bu isteklere yanıt veriyorsa, savunmasızdır.
- Kimlik Manipülasyonu (The ID Swap):
SCIM protokolü, kullanıcıları externalId (harici kimlik) parametresi ile eşleştirir. Zafiyet, Grafana’nın bu parametrenin güvenilirliğini kontrol etmemesinden kaynaklanır.
• Saldırgan, Grafana’ya meşru bir SCIM güncelleme isteği (PUT/PATCH) gönderir.
• Bu isteğin içinde, kendi kontrolündeki bir kullanıcıyı, hedeflediği yöneticinin e-posta adresi veya kullanıcı adıyla eşleştirecek şekilde externalId değerini değiştirir.
- Yetki Yükseltme (Elevation):
Grafana, gelen bu manipüle edilmiş isteği işler ve “Bu dış kimlik (saldırgan), aslında bu iç kullanıcıya (admin) aittir” şeklinde veritabanını günceller.
• Artık saldırganın elindeki kimlik bilgileri veya tokenlar, Grafana içerisindeki Yönetici Hesabı ile bağlanmıştır.
- Tam Erişim (Pwned):
Saldırgan, kendi kimlik bilgileriyle giriş yapar, ancak Grafana onu “Süper Admin” olarak tanır. Artık veri kaynaklarını (datasources) silebilir, panoları değiştirebilir, kullanıcıları atabilir ve sunucu üzerinde komut çalıştırabilir.
🛠️ Etkilenen Sürümler ve Yama Durumu
Bu zafiyet sadece Grafana Enterprise sürümünü etkilemektedir (Açık Kaynak / OSS sürümü etkilenmemiştir, ancak yine de dikkatli olunmalıdır).
Etkilenen Sürümler:
• Grafana Enterprise: 12.0.0 ile 12.2.1 arasındaki tüm sürümler.
Güvenli (Yamalı) Sürümler:
Lütfen aşağıdaki sürümlere veya daha yenisine ACİLEN geçiş yapın:
• 12.0.6
• 12.1.3
• 12.2.1 (Yamalı sürüm)
• 12.3.0
⚙️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Zafiyet Kodu | CVE-2025-41115 |
| Etkilenen Ürün | Grafana Enterprise |
| Risk Puanı | 10.0 (KRİTİK) |
| Zafiyet Türü | Authentication Bypass via SCIM (Kimlik Doğrulama Atlama) |
| Kritik Ayar | SCIM Enabled (SCIM Aktif) |
🛡️ Acil Kontrol Listesi (Checklist)
Sistem yöneticileri şu adımları derhal uygulamalıdır:
-
SCIM Kontrolü: Yapılandırma dosyasında (grafana.ini) veya çevre değişkenlerinde scim_enabled veya enableSCIM ayarının durumunu kontrol edin.
-
Özelliği Kapatın (Workaround): Eğer yamayı hemen geçemiyorsanız ve SCIM hayati değilse, bu özelliği geçici olarak devre dışı bırakın.
-
Güncelleme: Grafana Enterprise’ı yamalı sürümlere yükseltin.
-
Log İncelemesi: Erişim loglarında /api/scim/ adresine gelen şüpheli PUT, POST veya PATCH isteklerini ve normal dışı kullanıcı girişlerini (özellikle admin hesaplarında) inceleyin.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
