Grafana: luka „admin spoofing” o maksymalnej wadze (CVE-2025-41115) — co musisz zrobić teraz

Wprowadzenie do problemu / definicja luki

Grafana Labs poinformowała o krytycznej luce CVE-2025-41115 (CVSS 10.0), która w Grafana Enterprise 12.0.0–12.2.1 — tylko przy włączonym i skonfigurowanym SCIM (System for Cross-domain Identity Management) — pozwala atakującemu podszyć się pod dowolnego użytkownika, w tym konta administratorów, albo podnieść uprawnienia. Grafana OSS nie jest podatna. Dostępne są aktualizacje bezpieczeństwa: 12.3.0, 12.2.1, 12.1.3, 12.0.6. Usługi zarządzane (Grafana Cloud, Amazon Managed Grafana, Azure Managed Grafana) zostały już załatane.

W skrócie

• Identyfikator: CVE-2025-41115, CVSS 10.0 (krytyczna).
• Zakres: Grafana Enterprise 12.0.0–12.2.1 z włączonym SCIM (enableSCIM=true oraz [auth.scim] user_sync_enabled=true). OSS nie jest dotknięta.
• Skutek: podszycie (impersonation) lub eskalacja uprawnień do poziomu admina.
• Łatki: z 19 listopada 2025 r. — wydania 12.3.0 / 12.2.1 / 12.1.3 / 12.0.6.
• Mitigacje doraźne: wyłączyć SCIM, ograniczyć/odciąć klientów SCIM, wymusić rotację ich sekretów, przegląd logów provisioningowych.

Kontekst / historia / powiązania

SCIM wdrożono w Grafana Enterprise i Grafana Cloud w kwietniu 2025 r. w celu automatyzacji cyklu życia tożsamości (provisioning/deprovisioning). Podczas wewnętrznego przeglądu w listopadzie zespół Grafany wykrył błąd mapowania identyfikatorów, przygotował prywatne łatki (5 listopada) i 19 listopada ogłosił publicznie aktualizacje.

Równolegle media branżowe (BleepingComputer, The Hacker News) zwracają uwagę na maksymalną wagę problemu i możliwość pełnego przejęcia instancji przy błędnej konfiguracji SCIM.

Analiza techniczna / szczegóły luki

Sednem podatności jest nieprawidłowe przypisywanie uprawnień w logice SCIM. W określonej konfiguracji Grafana mapowała pole SCIM externalId bezpośrednio do wewnętrznego identyfikatora użytkownika (user.uid). o ile złośliwy (lub skompromitowany) klient SCIM dostarczył wartość numeryczną (np. „1”), mogło to nadpisać wewnętrzne ID i sprawić, iż nowo założone konto było traktowane jak istniejące, np. wbudowany administrator. Warunki konieczne do eksploatacji: włączone enableSCIM i [auth.scim] user_sync_enabled.

Wektory CVSS podane przez Grafana wskazują na zdalny (AV:N), bez interakcji użytkownika (UI:N) i bez wymogu uprawnień (PR:N) atak, co tłumaczy bazową ocenę 10.0.

Praktyczne konsekwencje / ryzyko

• Przejęcie panelu administracyjnego i modyfikacja ról/organizacji.
• Dostęp do źródeł danych (np. tajne URI, tokeny), możliwość modyfikacji dashboardów i alertów.
• Lateral movement w środowisku przez poświadczenia i integracje zapisane w Grafanie.
• Ryzyko zgodności (ekspozycja danych monitoringu/zdrowia systemów).
  Powyższe scenariusze są konsekwencją potwierdzonej możliwości impersonacji użytkowników w tym adminów.

Rekomendacje operacyjne / co zrobić teraz

1. Zaktualizuj natychmiast wszystkie wrażliwe instancje Grafana Enterprise do wersji z poprawką: 12.3.0 / 12.2.1 / 12.1.3 / 12.0.6. Zweryfikuj, iż środowiska Amazon Managed Grafana / Azure Managed Grafana oraz Grafana Cloud są już bezpieczne (dostarczone poprawki).
2. Jeżeli nie możesz patchować „od ręki” — wyłącz SCIM: ustaw enableSCIM=false lub w sekcji [auth.scim] user_sync_enabled=false. Zablokuj ruch do endpointów SCIM z wyjątkiem zaufanego IdP.
3. Rotuj sekrety klientów SCIM oraz odwołaj nieużywane integracje; przejrzyj uprawnienia tokenów.
4. Przeanalizuj logi provisioningowe i audytowe w okresie od kwietnia 2025 r. do wdrożenia poprawek pod kątem:
   • tworzenia kont ze skrótowymi/numericznymi externalId (np. „1”, „2”, itp.),
   • niespodziewanych zmian ról/organizacji,
   • prób logowania z nowych adresów.
5. Wymuś ponowną weryfikację członkostw i ról użytkowników „krytycznych” (admin, org admin, właściciele).
6. Twarde reguły sieciowe: ogranicz dostęp do interfejsów administracyjnych Grafany do sieci zaufanych/VPN; egzekwuj SSO/MFA. (Dobra praktyka niezależnie od tej luki).
7. Zaktualizuj playbooki IR o scenariusz „SCIM impersonation”, w tym szybkie wyłączenie SCIM i czasową blokadę klientów SCIM.

Różnice / porównania z innymi przypadkami

• Nie mylić z wcześniejszymi lukami (np. XSS/redirect CVE-2025-4123 z maja 2025 r. lub starszymi problemami z pluginami). Tutaj mówimy o SCIM i mapowaniu tożsamości, co umożliwia bezużytkownikową eskalację zdalną (PR:N, UI:N), stąd CVSS 10.0.
• W przeciwieństwie do dawnych błędów dot. ścieżek/pluginów, CVE-2025-41115 zależy od konkretnej funkcji (SCIM) i jej konfiguracji — instancje bez SCIM nie są podatne.

Podsumowanie / najważniejsze wnioski

• Jeśli używasz Grafana Enterprise 12.0.0–12.2.1 i masz SCIM włączony — traktuj to jak incydent krytyczny.
• Patch lub wyłączenie SCIM to dwie najszybsze ścieżki ograniczenia ryzyka.
• Audyt tożsamości i logów SCIM jest konieczny, by wykryć ewentualną impersonację.
• Usługi Grafana Cloud i zarządzane przez dostawców chmurowych otrzymały poprawki; Grafana OSS nie jest dotknięta.

Źródła / bibliografia

1. Grafana Labs — Security update & szczegóły CVE-2025-41115 (19 listopada 2025): patch levels, warunki eksploatacji, timeline. (Grafana Labs)
2. Grafana Labs — Oficjalny advisory CVE-2025-41115: CVSS 10.0, wektory, wersje naprawione. (Grafana Labs)
3. BleepingComputer — „Grafana warns of max severity admin spoofing vulnerability” (21 listopada 2025): opis skutków i wymagań konfiguracyjnych. (BleepingComputer)
4. The Hacker News — „Grafana Patches CVSS 10.0 SCIM Flaw…” (21 listopada 2025): wpływ i kontekst SCIM. (The Hacker News)
5. runZero — Wykrywanie podatnych instancji (przegląd dla zespołów asset discovery). (RunZero)