Kampaň zneužívajúca kritickú zraniteľnosť Grafana zasahuje Slovensko

Aktuálna situácia:

Dňa 28. septembra 2025 zaznamenala spoločnosť GreyNoise výrazný nárast pokusov o zneužitie zero-day zraniteľnosti CVE‑2021‑43798 v nástroji Grafana, ktorý umožňuje útočníkovi využívať možnosť prechádzania adresárovej štruktúry (path traversal). Celkom 110 unikátnych IP adries sa v ten deň pokúsilo o útok voči monitorovaným inštanciám. Všetky identifikované IP adresy sú klasifikované ako škodlivé.

Opis útoku/kampane:

CVE‑2021‑43798 umožňuje prechádzanie adresárovej štruktúry. Pomocou slovníkového útoku, v ktorom útočník háda názvy modulov využitých v bežiacej inštancii Grafana, vie nájsť adresu nainštalovaného modulu, ktorú dokáže zneužiť na prístup k citlivým súborom na serveri.

V aktivitách z 28. septembra bol pozorovaný vzorec koordinovaného útoku:

• 110 unikátnych IP adries v priebehu jedného dňa.
• Cieľové destinácie útokov: Spojené štáty, Slovensko a Taiwan.
• Aktéri hrozieb využívajú IP adresy, ktoré podľa geolokácie patria nasledujúcim krajinám: Bangladéš (107 IP), Čína (2 IP) a Nemecko (1 IP).
• 105 zo 107 IP z Bangladéša cielených primárne na americké koncové body.
• Väčšina IP adries bola prvýkrát zaznamenaná priamo v deň útoku.
• Jednotné použitie sieťových odtlačkov a využitie spoločných nástrojov naznačujú spoločný zoznam cieľových systémov.

Nie je známe či útočníci hľadali konkrétne citlivé súbory no z povahy útoku je možné zneužiť zraniteľné verzie aj ako vstupný bod pre ďalšie útoky alebo testovanie účinnosti útoku do budúcna.

Kampaň má dosah aj na územie Slovenskej republiky, preto odporúčame administrátorom prijať nasledovné odporúčania.

Odporúčania:
Administrátorom odporúčame bezodkladnú bezpečnostnú aktualizáciu nástroja Grafana na stále podporované verzie, t.j. v dobe písania článku minimálne verzia 11. V systémoch, ktoré používajú verziu 8 a prechod na novšiu nie je možný, odporúčame bezodkladnú aktualizáciu na verzie obsahujúce záplatu t.j. 8.3.1, 8.2.7, 8.1.8, alebo 8.0.7 (podľa produkčných požiadaviek), aj pokiaľ nie sú priamo dostupné z internetu. Treba však zdôrazniť, že prevádzkovať nepodporovaný softvér v produkčnom prostredí aj bez prístupu na verejný internet je závažné bezpečnostné riziko.

Zdroje:

• https://www.greynoise.io/blog/coordinated-grafana-exploitation-attempts
• https://nvd.nist.gov/vuln/detail/cve-2021-43798
• https://therecord.media/grafana-releases-security-patch-after-exploit-for-severe-bug-goes-public
• https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p