Grafana 취약점 노출 국내 서버 현황 (CVE-2024-9264)

Grafana 제품에 대한 중요 보안 취약점이 발표되었으며, 다수의 국내 서버가 취약 버전으로 확인되었다. Grafana는 데이터를 시각화하고 모니터링할 수 있는 오픈소스 플랫폼으로 널리 알려져 있다.

 

그림 1. Grafana 접속 화면

 

2024년 10월 18일 공개된 CVE-2024-9264 취약점은 Grafana 서버 시스템에 원격 명령을 실행하거나(RCE) 임의 파일을 읽을 수 있는(LFI) 취약점으로 CVSS 점수 9.9의 심각한 위험도의 취약점이다.

해당 취약점을 악용하면 가장 낮은 권한인 Viewer 권한으로도 서버에 임의 명령을 실행하거나 특정 파일 내용을 확인할 수 있다.

취약 대상은 Grafana v11.x 버전이 설치된 환경에 DuckDB가 환경 변수를 통해 접근 가능한 경우이다. 취약점을 유발하는 기능이 최근 버전부터 포함되었으며, “DuckDB” 설치의 전제 조건이 있기 때문에 실제 공격에 노출된 서버 수량은 제한적일 것으로 보인다. 하지만, 원격 명령 실행 및 파일 탈취가 가능하며 PoC 코드가 공개되어 있어 즉시 공격에 악용될 수 있으므로 주의가 필요하다.

ASEC(AhnLab SEcurity intelligence Center)에서는 자사 고객의 취약점 위협 노출 현황을 파악하기 위해 ASM 서비스를 통해 국내에서 운용 중인 Grafana 서버에 대한 취약 여부를 조사하였다.

국내에서 운용 중인 Grafana 서버 2285개가 확인되었으며, 이 중 2168개 서버의 버전 정보가 확인되었다. 이중 최신 버전이 아닌 구 버전(취약점 대상 버전 및 그 이하 버전)을 사용 중인 서버는 2147개로, 99%가 장기간 업데이트를 하지 않고 운용 중이다. CVE-2024-9264 취약점 대상 버전인 v11.x를 사용 중인 서버는 674개, 31%로 확인되었다. 상당수가 국내 기업으로 확인되었으며 대학교(원)도 다수 확인되었다.

 

IP	Port	Grafana Version	Domain
210.127.*.168	3000	Grafana v11.0.0	main-firewall.*************.net
133.186.*.166	3000	Grafana v11.0.0	ops.*************.co.kr
211.35.*.195	53000	Grafana v11.0.1	www.*******.co.kr
211.239.*.9	80	Grafana v11.1.3	app2.*******.co.kr
115.165.*.231	8000	Grafana v11.2.0	*******.co.kr
183.107.*.52	3000	Grafana v11.0.1	www.*******.com
218.153.*.217	3000	Grafana v11.1.4	pay.******.com
1.214.*.250	30002	Grafana v11.2.0	vpn.**************.co.kr
141.223.*.78	55556	Grafana v11.2.0	an*els.*******.ac.kr
115.41.*.196	6377	Grafana v11.0.1	stbt.****.co.kr
58.234.*.82	9256	Grafana v11.1.0	ze**en.************.net
165.246.*.44	3000	Grafana v11.0.0	a*x.****.ac.kr
210.220.*.72	3000	Grafana v11.1.3	bsm.***********.com

표 1. 확인된 취약 Grafana 서버 예시

 

그림 2. 국내 Grafana 서버 취약점 노출 현황

 

CVE-2024-9264

Grafana v11.0.0 버전부터 SQL 표현식을 실행할 수 있는 기능이 추가되었다. 해당 기능에서 SQL 쿼리를 적절히 필터링 하지 않아 DuckDB CLI에 사용자 입력 데이터가 포함된 명령이 전달되며, 그 실행 결과를 얻을 수 있다. read_text, read_csv, read_blob 등의 SQL 함수 실행이 가능하며, 로컬 파일 경로를 인자로 주어 해당 파일의 내용을 얻을 수 있다.

 

그림 3. CVE-2024-9264 PoC 화면 (LFI)

 

COPY – TO 쿼리로 시스템에 원하는 내용의 파일을 생성할 수 있으며, 추가 패키지 설치 명령을 전달하여 쉘 명령도 실행 가능하다. 명령어가 작성된 파일을 쓰고 해당 파일을 읽어 쉘 명령으로 실행하는 방식으로 임의 명령을 실행 가능하다.

 

그림 4. CVE-2024-9264 PoC 화면 (RCE)

 

테스트 환경에서 추가 설정 없이 취약 버전의 Grafana와 DuckDB를 설치하는 것만으로 취약점 구현이 가능하였다. Grafana v11.x 버전과 DuckDB를 사용 중인 환경에서는 즉시 최신 업데이트를 수행해야 한다. 패치가 어려운 환경일 경우 DuckDB 실행파일을 제거하거나 환경 변수 경로에서 제외하는 방식으로 완화 조치가 가능하다.

 

본문의 취약점은 임의 명령이 실행되거나 중요 파일이 유출될 수 있어 악용될 경우 큰 피해가 예상된다. 취약한 버전으로 지속 운영 시 공격 대상으로 노출될 수 있으므로, 피해 예방을 위하여 즉시 최신 패치를 적용해야 한다.

해당 사례 외에도 공격자는 여러 유명 제품의 알려진 취약점을 악용하여 공격을 시도한다. 사용 중인 서비스를 항상 최신 버전으로 유지해야 하며 각종 보안 설정을 통해 공격자의 취약점 스캐닝 및 공격을 방어해야 한다. 또한 국내외 보안 권고를 상시 확인하여 대상 서비스를 운용 중인 경우 신속한 조치와 함께 피해 여부를 점검해야 한다.

ASEC에서는 블로그를 통해 주요 취약점에 대한 보안 권고문을 게시하고 있으며, AhnLab TIP 서비스 가입 고객 중 취약점 대상 서비스 운용 기업이 확인될 경우 별도의 맞춤형 보고서를 전달하고 있다. 자사 고객의 취약 정보가 외부에 노출되지 않도록 하며 안전하게 서비스를 운영할 수 있도록 비공개로 해당 고객에게만 전달하는 서비스이다.

 

Ahnlab 보안 권고문

[보안권고문] Grafana 보안 업데이트 권고(CVE-2024-9264)
https://asec.ahnlab.com/ko/83990/ 

 

관련 링크

https://nvd.nist.gov/vuln/detail/CVE-2024-9264  

https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/