Um alerta de segurança abala o mundo da monitorização de sistemas: mais de 46.000 instâncias da popular plataforma Grafana, expostas na internet, continuam por atualizar e estão vulneráveis a uma falha grave. A vulnerabilidade, identificada como CVE-2025-4123, permite o redirecionamento para sites maliciosos, a execução de plugins falsos e, em última análise, o roubo de contas de utilizador.
Apesar de a Grafana Labs ter lançado as correções de segurança a 21 de maio, uma análise recente revela que a adesão tem sido perigosamente lenta. Cerca de 36% de todos os servidores Grafana acessíveis publicamente permanecem em risco.
O 'Fantasma do Grafana' que assombra a internet
A descoberta inicial da falha foi feita pelo investigador de segurança Alvaro Balada. No entanto, foram os analistas da empresa de segurança de aplicações OX Security que aprofundaram a investigação, apelidando a ameaça de "The Grafana Ghost" (O Fantasma do Grafana).
A equipa da OX Security demonstrou como a vulnerabilidade pode ser explorada ativamente. Ao cruzar dados sobre as versões vulneráveis com a distribuição da plataforma, identificaram um total de 128.864 instâncias online, das quais 46.506 continuam vulneráveis ao ataque.
Como funciona o ataque e quais os riscos?
A exploração da falha CVE-2025-4123 combina técnicas de path traversal do lado do cliente com um redirecionamento aberto. Essencialmente, um atacante pode criar um link malicioso que, ao ser clicado por uma vítima, força o Grafana a carregar um plugin a partir de um servidor controlado pelo atacante.
As consequências são severas e podem incluir:
- Execução de código JavaScript arbitrário no navegador da vítima.
- Roubo de sessões de utilizador ativas.
- Alteração de credenciais de contas, facilitando o roubo através do processo de reposição de palavra-passe.
- Em casos onde o plugin Grafana Image Renderer está instalado, é possível realizar ataques de Server-Side Request Forgery (SSRF) para ler recursos internos da rede.
O mais preocupante é que o ataque não exige privilégios elevados e pode ser executado mesmo que o acesso anónimo esteja ativado na plataforma, algo que, juntamente com o facto de a funcionalidade de plugins vir ativa por defeito, cria uma superfície de ataque massiva.
Proteja-se: a atualização é urgente
A mitigação do risco é clara e direta: os administradores devem atualizar as suas instâncias de Grafana com a máxima urgência. Conforme o aviso de segurança oficial da Grafana, as versões corrigidas são:
- 10.4.18+security-01
- 11.2.9+security-01
- 11.3.6+security-01
- 11.4.4+security-01
- 11.5.4+security-01
- 11.6.1+security-01
- 12.0.0+security-01
Dado o elevado número de sistemas ainda expostos e a simplicidade relativa do ataque (que depende apenas da interação do utilizador), é crucial que as equipas de TI verifiquem as suas implementações e apliquem as devidas correções sem demora.
Nenhum comentário
Seja o primeiro!