Grafana 소개 

 Grafana 접속 화면 

Grafana 취약점 노출  

Grafana는 통합된 차트와 그래프를 여러 대시보드에 나타내 사용자가 데이터를 더욱 쉽게 해석하고 이해하는 데 도움을 주는 오픈소스 인터랙티브 데이터 시각화 플랫폼입 니다. 2024년 10월 18일에 공개된 CVE-2024-9264 취약점은 Grafana 서버 시스템 에 원격 명령을 실행하거나 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.9라는 위험도 높은 점수를 부여 받았습니다. Viewer 이상의 권한이 있는 모든 사용자는 서버 에 임의적인 명령을 실행하거나 특정 파일 내용을 확인하는 등 취약점을 악용하여 정보 를 탈취할 수 있습니다. 

Grafana v11.x 버전이 설치된 환경에서 DuckDB가 환경 변수를 통해 접근이 가능한 경우 취약점 공격 대상입니다. 최근 버전부터 취약점을 유발하는 기능이 포함되어있으 며, DuckDB 설치라는 전제 조건이 존재하기 때문에 실제 취약점에 노출된 서버는 많 지 않을 것으로 예상되지만, 원격 명령 실행 및 파일 탈취가 가능하며 PoC 코드가 공개 되어 있기에 공격 가능성에 대한 주의가 필요합니다. 

국내 Grafana 서버 취약점 노출 현황(출처: ASEC)  

국내 Grafana 서버 현황  

국내에서 운용 중인 Grafana 서버가 2285개이며, 이 중 2168개 서버 정보가 확인되었습니다. 취약점 대상 버전 및 이하 버전을 사용 중인 서 버는 2147개(99%)로, 장기간 최신 업데이트를 진행하지 않고 운용 중 인 것으로 나타났습니다. CVE-2024-9264 취약점 대상 버전인 v11.x 를 사용 중인 서버는 674개(31%)로 확인되었습니다. 국내 기업 상당수 가 Grafana 서버를 운용하고 있으며 대학교와 대학원에서도 다수 확인 되었습니다.  

CVE-2024-9264 취약점

CVE-2024-9264는 Grafana의 SQL 표현식 기능에 존재하는 DuckDB SQL 취약점입니다. 인증된 모든 사용자는 Grafana 대시 보드에서 표현식을 수정하여 임의의 DuckDB SQL 쿼리를 실행할 수 있습니다. 

Grafana v11.0.0 버전부터 제공된 SQL 표현식을 실행할 수 있는 기능에서 SQL 쿼리를 적절히 필터링하지 않아 DuckDB CLI에 사용자 입력 데이터가 포함된 명령이 전달되며, 명령에 대한 실행 결과를 얻을 수 있습니다. read_text, read_csv 등 SQL 쿼리를 통 해 로컬 파일의 내용을 읽어 공격자가 시스템의 중요 파일들을 읽을 수 있습니다. 또한 시스템에 원하는 내용의 파일을 생성하여 쉘 명령을 작성하고 파일을 읽어 임의 명령을 실행하는 방식 등을 통해 지속적인 정보 탈취가 이루어질 수 있습니다.

이 취약점은 매우 심각하지만, 악용 가능 여부에 대해서는 DuckDB 바이너리가 Grafana 서버에 설치되어 있는지에 따라 달라집니다. 이 취약점을 악용하기 위해서는 Grafana 서버 $PATH에 DuckDB가 설치되어 있어야 합니다. DuckDB가 없으면 SQL 주입 취약점 을 악용할 수 없습니다.

결론

CVE-2024-9264 취약점은 임의 명령이 실행되거나 중요한 파일이 유출될 수 있어 큰 피해가 발생할 것으로 예상됩니다. 취약한 버전을 가진 Grafana 서버 운용 시 공격 대상이 될 수 있으므로 지속적인 관심을 가지고 최신 패치 버전을 다운로드하여 관리하고 예방하여야 합니다. 이번 사례를 통해 앞으로도 지속적인 보안 업데이트와 취약점 모니터링의 중요성을 인식하고, 사용 중인 모든 서비스를 항상 최신 버전으로 관리 및 유지하는 것이 중요합니다. 

대응방안

• 패치된 최신 버전 다운로드 (GrafanaLabs)

- 11.0.5+security-01,11.1.6+security-01,11.2.1+security-01

- 11.0.6+security-01,11.1.7+security-01,11.2.2+security-01 

• DuckDB 제거

- DuckDB 실행파일을 제거하거나 환경 변수 경로에서 제외 

• SQL Expressions기능 비활성화