내용 요약
Grafana에 존재하는 Path Traversal 취약점(CVE‑2021‑43798)을 해결하기 위해, 공급업체 지침을 준수하고, 클라우드 서비스에 적용 가능한 BOD 22‑01 가이드를 따라야 합니다. 가능할 때는 패치 혹은 설정 변경을 적용하고, 그렇지 않다면 해당 제품 사용을 중단하도록 권고합니다.
핵심 포인트
- 취약점 식별 – Grafana Path Traversal (CVE‑2021‑43798)
- 적용 가이드 – 공급업체 지침과 BOD 22‑01 클라우드 보안 지침
- 대응 조치 – 패치, 구성 변경, 혹은 제품 사용 중단
기술 세부 내용
1️⃣ Grafana Path Traversal Vulnerability (CVE‑2021‑43798)
| 단계 | 설명 |
|---|---|
| 1️⃣ 취약점 개요 | Path Traversal(경로 탐색) 공격은 악의적 사용자가 ../ 같은 상대 경로를 조작해 서버의 파일 시스템에 접근하게 합니다. Grafana 7.x 이하 버전에서 /search 엔드포인트가 이 공격에 취약해, 공격자가 / 경로 아래의 임의 파일을 읽을 수 있습니다. |
| 2️⃣ 영향 범위 | 1. 정보 노출 – 민감 파일(예: /etc/passwd, API 키, DB 비밀번호 등) 유출 가능2. 원격 코드 실행 – 파일에 포함된 스크립트가 실행될 경우 서버가 완전히 탈취될 수 있음 |
| 3️⃣ 탐지 방법 | - 취약점 스캐너 (Nessus, OpenVAS 등)에서 CVE‑2021‑43798 식별 - 로그 분석: /search 호출 시 비정상적인 경로가 포함된 요청이 있는지 확인 |
| 4️⃣ 방어 전략 | - 업그레이드: Grafana 최신 버전(≥ 7.5) 설치 - 파일 접근 제한: /etc/nginx/nginx.conf 등 웹 서버 설정에서 deny 규칙 추가- 입력 검증: 애플리케이션 레벨에서 .. 같은 패턴 차단 |
Tip
Grafana는search요청 시query파라미터를 사용합니다.query에../../../../etc/passwd같은 문자열을 넣어도 정상적인 결과가 나오지 않도록 최신 패치가 필수입니다.
2️⃣ Vendor Instructions (공급업체 지침)
| 단계 | 설명 |
|---|---|
| 1️⃣ 공식 문서 확인 | Grafana Labs 공식 블로그나 GitHub 이슈 페이지에서 CVE-2021-43798에 대한 패치 릴리스 노트 조회 |
| 2️⃣ 패치 적용 | ① 패치 다운로드: https://github.com/grafana/grafana/releases에서 최신 버전② 백업: 기존 설정( grafana.ini, 디렉터리 구조) 백업③ 업그레이드: OS 패키지 매니저( apt, yum) 또는 Docker 이미지 업데이트 |
| 3️⃣ 검증 | 업그레이드 후 grafana-server 재시작, search API 호출로 정상 동작 여부 확인 |
| 4️⃣ 롤백 계획 | 예상치 못한 서비스 중단 시 바로 이전 버전으로 복구 가능한 스크립트/도커 이미지 보유 |
Note
공급업체가 제공하는 패치를 적용해도 여전히 특정 환경(예: custom 플러그인)에서 취약점이 남아있을 수 있으니, 추가 검증이 필요합니다.
3️⃣ BOD 22‑01 Guidance for Cloud Services
| 단계 | 설명 |
|---|---|
| 1️⃣ BOD 22‑01 개념 | Board of Directors (BOD)에서 제정한 클라우드 보안 가이드라인. 주요 내용은 ‘취약점 관리’, ‘보안 패치 주기’, ‘서비스 중단 시나리오’ 등을 포함 |
| 2️⃣ 적용 범위 | • SaaS, PaaS, IaaS 등 모든 클라우드 서비스 • 외부 공급업체(예: Grafana Cloud) |
| 3️⃣ 체크리스트 | - 패치 주기: 최소 월 1회 스캔 및 패치 적용 - 취약점 우선순위: CVSS 점수 ≥ 7인 항목 우선 - 백업 및 복구: 서비스 중단 대비 24시간 내 복구 가능 |
| 4️⃣ 실행 절차 | ① 리스크 평가: 현재 Grafana 버전과 CVE‑2021‑43798 여부 확인 ② 패치 적용: BOD 22‑01의 ‘패치 주기’에 따라 적용 ③ 감사 기록: 패치 적용 일자, 담당자, 테스트 결과를 중앙 로그에 저장 |
| 5️⃣ 지속적 모니터링 | • SIEM 연동: Grafana 로그를 SIEM에 전송해 비정상 패턴 탐지 • 정기 검토: BOD 22‑01 가이드라인 업데이트 시 재검토 |
Practical Example
AWS Managed Grafana 인스턴스의 경우,grafana-aws콘솔에서 “Security updates” 탭을 통해 BOD 22‑01에 맞춘 패치 알림을 받을 수 있습니다.
4️⃣ Discontinue Use (제품 사용 중단)
| 단계 | 설명 |
|---|---|
| 1️⃣ 상황 판단 | 패치가 제공되지 않거나, 패치 적용이 불가능한 환경(예: 맞춤형 모듈)일 때 |
| 2️⃣ 단계별 중단 계획 | ① 비상 계획 수립: 서비스 중단 시 비즈니스 영향 최소화 ② 데이터 이전: 대체 솔루션(예: Prometheus+Grafana OSS)으로 데이터 마이그레이션 ③ 사용자 교육: 대체 솔루션 사용법과 보안 교육 |
| 3️⃣ 문서화 | 중단 결정 이유, 시기, 교체 일정 등을 문서화해 SOC 및 감사팀에 공유 |
| 4️⃣ 재검토 | 6개월 주기로 보안 상황 재평가, 필요 시 재도입 가능 여부 검토 |
Why Discontinue?
경로 탐색 취약점이 심각한 정보 유출을 초래할 수 있고, 패치가 없을 경우 보안 리스크가 지속되므로 사용 중단이 가장 안전한 대응 방법입니다.
마무리 체크리스트
- [ ] Grafana 최신 버전(≥ 7.5) 설치 여부 확인
- [ ] CVE‑2021‑43798에 대한 패치 적용 로그 저장
- [ ] BOD 22‑01 가이드라인에 따라 패치 주기 및 백업 계획 수립
- [ ] 취약점 재스캔 후 정상 동작 확인
- [ ] 사용 중단 결정 시, 데이터 마이그레이션 및 교육 완료
이 문서를 기반으로 구체적인 실행 계획을 수립하면, Grafana Path Traversal 취약점으로 인한 보안 사고를 효과적으로 방지할 수 있습니다.
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [데일리시큐]러시아, AI로 무장한 새로운 사이버 전쟁…우크라이나 공격 급증 (0) | 2025.10.10 |
|---|---|
| [데일리시큐]구글, AI 보안취약점 찾으면 최대 3만 달러 지급…‘AI 버그 바운티’ 본격 가동 (0) | 2025.10.10 |
| [KRCERT]Redis 제품 보안 업데이트 권고 (0) | 2025.10.10 |
| [데일리시큐]북한 라자루스 그룹, 2025년 가상화폐 2조7천억원 탈취…역대 최대 규모 (0) | 2025.10.10 |
| [데일리시큐]드래곤포스·록빗·킬린, ‘랜섬웨어 동맹’ 결성…글로벌 사이버범죄 판도 재편 (0) | 2025.10.10 |