Grafik Verilerdeki Tehdit: CVE-2025-41115
Grafana Labs, ürün yelpazesinin Enterprise sürümünde ciddi bir güvenlik açığı olan CVE-2025-41115 hakkında uyarılarda bulundu. Bu açığın kötü niyetli bireyler tarafından yeni kullanıcıların yöneticiler olarak tanınmasını veya yetki yükseltimini sağlamak için istismar edilebileceği bildirilmektedir.
SCIM Provizyonlama Nedir?
Bu güvenlik açığı, yalnızca SCIM (Cross-domain Identity Management Sistemi) provizyonlaması etkin ve yapılandırılmış olduğunda ortaya çıkmaktadır. Özellikle, hem enableSCIM özellik bayrağı hem de user_sync_enabled seçeneklerinin “true” olarak ayarlanmış olması gerekmektedir. Aksi takdirde, kötü niyetli veya tehlikeye atılmış bir SCIM istemcisi, sayısal bir dış kimlik (externalId) ile bir kullanıcıyı iç hesapla eşleştirerek, yöneticileri de içerecek şekilde yetki kazanabilir.
Dış Kimlik (externalId) Açıklaması
Dış kimlik, kimlik sağlayıcıları tarafından kullanıcıların izlenmesi için kullanılan bir SCIM muhasebe niteliğidir. Grafana, bu değeri doğrudan iç user.uid değeriyle eşleştirdiği için, “1” gibi sayısal bir dış kimlik, mevcut bir iç hesabın varlığını ifade edebilmektedir. Bu durum, impersonasyon yoluyla yetki yükseltimine neden olabilir.
SCIM’in Durumu ve Kullanım Oranı
Grafana’nın belgelerine göre, SCIM provizyonlama şu anda “Açık Önizleme” aşamasındadır ve sınırlı destek sunulmaktadır. Bu nedenle, bu özelliğin benimsenme oranı yüksek olmayabilir. Ancak, Grafana’nın geniş bir kullanıcı kitlesine sahip olduğunu ve her boyutta organizasyonlar tarafından kullanıldığını unutmamak gerekir.
Güvenlik Açığına Maruz Kalan Sürümler
CVE-2025-41115, SCIM etkin olduğunda Grafana Enterprise sürümleri 12.0.0 ile 12.2.1 arasında etkilidir. Grafana OSS kullanıcıları bu güvenlik açığından etkilenmemekte olup, Grafana Cloud hizmetleri—Amazon Managed Grafana ve Azure Managed Grafana—zaten gerekli yamanın kurulumunu gerçekleştirmiştir.
Çözüm Önerileri
Kendi kendine yönetilen kurulumların yöneticileri, aşağıdaki güncellemelerden birini uygulayarak riski minimize edebilirler:
- Grafana Enterprise sürüm 12.3.0
- Grafana Enterprise sürüm 12.2.1
- Grafana Enterprise sürüm 12.1.3
- Grafana Enterprise sürüm 12.0.6
Grafana Labs, “Eğer instance’ınız bu güvenlik açığına maruzsa, mümkün olan en kısa sürede yamalanmış bir sürüme geçmeniz kuvvetle tavsiye edilmektedir” uyarısında bulundu.
Güvenlik Açığının Keşfi ve Güncellemeler
Bu açık, 4 Kasım tarihinde yapılan iç denetimler sırasında keşfedilmiş ve hemen ardından bir güvenlik güncellemesi gerçekleştirilmiştir. Süreç boyunca Grafana Labs, bu açığın Grafana Cloud’da istismar edilmediğini tespit etmiştir. İlgili güvenlik güncellemesinin kamuya açık sürümü 19 Kasım’da yayınlanmıştır.
Sonuç ve Tavsiyeler
Grafana kullanıcıları, mevcut yamaları mümkün olan en kısa sürede uygulamaları veya yapılandırmalarını değiştirmeleri (SCIM’i devre dışı bırakmak) konusunda uyarılmıştır. Ayrıca, GreyNoise’un son raporlarına göre, eski bir yol geçişi açığına yönelik olağandışı yüksek tarama faaliyetleri gözlemlenmiştir. Bu durum, güvenlik açıklarının daha geniş bir ölçekte araştırılması için bir hazırlık olarak değerlendirilmektedir.
Sonuç olarak, veri güvenliği, her zaman öncelikli bir konu olmalıdır. Grafana gibi platformlar için, kullanıcıların güvenliklerini sağlamak amacıyla sürekli güncelleme ve yapılandırma kontrolü önem arz etmektedir.
