概要:Grafanaの脆弱性悪用が急増
セキュリティ研究機関GreyNoiseは、2025年9月28日に、広く知られているGrafanaの脆弱性「CVE-2021-43798」を悪用しようとする試みが急増したことを観測しました。この脆弱性は、攻撃者がサーバー上のパスを辿り、任意のファイルを読み取ることができるパス・トラバーサル攻撃を可能にします。
GreyNoiseのグローバル観測グリッドでは、わずか1日のうちに110の異なるIPアドレスが脆弱なGrafanaインスタンスをスキャンしているのが確認され、これらすべてが悪意のあるものとしてマークされました。
攻撃活動の詳細
最近数ヶ月間、Grafanaの悪用は沈静化していましたが、9月28日の急増は特に注目に値します。攻撃は以下の3カ国のGrafanaサーバーに集中していました。
- 米国
- スロバキア
- 台湾
攻撃元のIPアドレスのほとんどはバングラデシュ(107件)から来ており、中国(2件)とドイツ(1件)がそれに続きました。バングラデシュを拠点とするIPのほぼすべてが米国を標的としていました。これらのIPの多くが攻撃開始と同日に初めて出現したことから、今回のキャンペーンのために特別に立ち上げられた可能性が示唆されています。
攻撃トラフィックの分布は、バングラデシュ、中国、ドイツのいずれのソースからであっても、宛先に対して一貫した3:1:1の比率で観測されました。また、スキャンで確認されたTCPおよびHTTPのフィンガープリントは、少なくとも2つの異なるツールが同じサーバー群に対して使用されたことを示しており、これは協調的なキャンペーンまたは一般的に使用されるエクスプロイトキットの存在を示唆しています。
特に、中国を拠点とする2つのIPアドレス、60.186.152.35と122.231.163.197は、CHINANET-BACKBONEネットワークに属し、9月28日にのみ出現し、Grafanaのパス・トラバーサル攻撃に特化していました。
推奨される対策
CVE-2021-43798のような古い高影響度の脆弱性を悪用することは、ハッカーにとって一般的な戦術です。組織は以下の対策を直ちに講じる必要があります。
- 9月28日に特定された110の悪意のあるIPアドレスをブロックする。
- すべてのGrafanaサーバーがCVE-2021-43798に対してパッチが適用されていることを確認する。
- アクセスログをレビューし、パス・トラバーサル要求の兆候がないか確認し、機密ファイルへのアクセスがあったかどうかを判断する。
- 詳細なネットワークシグネチャに関心があるセキュリティチームは、GreyNoiseサポートに連絡してJA4+フィンガープリントを入手する。
攻撃者が古い脆弱性を繰り返し悪用する傾向があるため、タイムリーなパッチ適用と警戒を怠らない監視が、依然として最善の防御策となります。また、CVE-2025-6023のようなより新しいGrafanaの脆弱性に関するツールや研究も拡大しており、これらのプラットフォームは攻撃者にとって魅力的な標的であり続けています。
元記事: https://gbhackers.com/hackers-exploit-grafana-vulnerability/