Các nhà nghiên cứu tại GreyNoise đã ghi nhận sự gia tăng đột biến trong các nỗ lực khai thác một lỗ hổng CVE-2021-43798 đã biết của Grafana. Lỗ hổng này cho phép kẻ tấn công thực hiện path traversal trên máy chủ và đọc bất kỳ tệp nào họ muốn.

Trong vòng một ngày, có tới 110 địa chỉ IP duy nhất đã quét Mạng lưới Quan sát Toàn cầu (Global Observation Grid) của GreyNoise để tìm các phiên bản Grafana dễ bị tổn thương. Tất cả các địa chỉ này đều được đánh dấu là độc hại.

Tổng quan về Lỗ hổng CVE-2021-43798 trong Grafana

CVE-2021-43798 là một lỗ hổng loại path traversal (điều hướng đường dẫn) ảnh hưởng đến Grafana. Kẻ tấn công có thể lợi dụng lỗi này để truy cập các tệp nằm ngoài thư mục web gốc, bao gồm các tệp cấu hình nhạy cảm hoặc tệp hệ thống khác.

Thông tin chi tiết về lỗ hổng CVE-2021-43798 có thể được tìm thấy tại NVD của NIST. Mặc dù là một lỗ hổng đã được công bố từ lâu, nhưng mức độ ảnh hưởng của nó vẫn rất cao, cho phép đánh cắp dữ liệu hoặc thu thập thông tin quan trọng.

Gia tăng đột biến các cuộc tấn công khai thác lỗ hổng Grafana

Hoạt động khai thác lỗ hổng Grafana đã khá yên ắng trong những tháng gần đây, điều này khiến đợt gia tăng tấn công vào ngày 28 tháng 9 trở nên đặc biệt đáng chú ý. Sự kiện này cho thấy các nhóm tấn công vẫn tiếp tục nhắm mục tiêu vào các lỗ hổng đã biết và có bản vá.

Phân tích nguồn gốc và mục tiêu của chiến dịch tấn công

Tất cả 110 địa chỉ IP đã cố gắng tiếp cận các máy chủ Grafana tại ba quốc gia: Hoa Kỳ, Slovakia và Đài Loan. Sự tập trung địa lý này chỉ ra một mục tiêu cụ thể và có chọn lọc.

Hầu hết các nguồn tấn công đến từ Bangladesh, chiếm 107 trong số các địa chỉ IP độc hại. Trung Quốc và Đức đóng góp lần lượt hai và một địa chỉ IP.

Đáng chú ý, phần lớn các địa chỉ IP có trụ sở tại Bangladesh tập trung vào các mục tiêu ở Hoa Kỳ. Hầu hết các IP này xuất hiện lần đầu tiên vào cùng ngày chúng thực hiện các cuộc tấn công, cho thấy chúng được khởi tạo đặc biệt cho chiến dịch này.

Phân phối lưu lượng tấn công mạng tuân theo tỷ lệ nhất quán 3:1:1 trên các đích đến, bất kể nguồn gốc là Bangladesh, Trung Quốc hay Đức. Các địa chỉ IP từ Trung Quốc tấn công các mục tiêu ở Hoa Kỳ, Slovakia và Đài Loan theo tỷ lệ 7:2:2. Địa chỉ duy nhất từ Đức tuân theo tỷ lệ 3:1:1.

Các địa chỉ IP có trụ sở tại Bangladesh cũng tuân thủ chặt chẽ tỷ lệ 100:1:1. Ngoài ra, dấu vân tay TCP và HTTP được thấy trong các lần quét cho thấy ít nhất hai công cụ khác nhau đã được sử dụng để tấn công cùng một tập hợp máy chủ.

Dấu hiệu chiến dịch phối hợp và công cụ khai thác

Sự kết hợp giữa việc nhắm mục tiêu đồng nhất và việc sử dụng chung các công cụ cho thấy đây là một chiến dịch phối hợp hoặc sử dụng một bộ công cụ khai thác phổ biến, chứ không phải các lần quét ngẫu nhiên, riêng lẻ. Điều này nhấn mạnh nguy cơ từ lỗ hổng CVE-2021-43798 vẫn còn rất cao.

Hai địa chỉ IP có trụ sở tại Trung Quốc là 60.186.152.35 và 122.231.163.197 nổi bật. Cả hai đều thuộc mạng lưới CHINANET-BACKBONE, chỉ xuất hiện vào ngày 28 tháng 9 và chỉ tập trung vào các nỗ lực path traversal của Grafana.

Chỉ số thỏa hiệp (IOCs)

• Địa chỉ IP độc hại:
• 60.186.152.35
• 122.231.163.197
• Và 108 địa chỉ IP khác được GreyNoise xác định (tham khảo nguồn GreyNoise).
• Mục tiêu: Các máy chủ Grafana tại Hoa Kỳ, Slovakia, Đài Loan.
• Mẫu khai thác: Path traversal qua lỗ hổng CVE-2021-43798.

Khai thác các lỗ hổng có tác động lớn nhưng đã cũ như lỗ hổng CVE-2021-43798 là một chiến thuật phổ biến. Các cảnh báo bảo mật đã ghi nhận cách các lỗ hổng path traversal và các lỗ hổng liên quan của Grafana đã được tích hợp vào các đợt SSRF quy mô lớn và giai đoạn trinh sát của chuỗi khai thác đa bước.

Các công cụ và nghiên cứu về các lỗ hổng Grafana gần đây hơn, chẳng hạn như CVE-2025-6023, tiếp tục mở rộng, biến các nền tảng này trở thành mục tiêu hấp dẫn đối với kẻ tấn công. Do đó, việc giải quyết triệt để lỗ hổng CVE-2021-43798 vẫn là ưu tiên hàng đầu.

Các biện pháp ứng phó và phòng ngừa đối với lỗ hổng CVE-2021-43798

Các tổ chức nên ngay lập tức chặn 110 địa chỉ IP độc hại được xác định vào ngày 28 tháng 9. Đồng thời, cần xác minh rằng tất cả các máy chủ Grafana đã được vá lỗi chống lại lỗ hổng CVE-2021-43798.

GreyNoise đã cung cấp chi tiết về các nỗ lực này, bao gồm danh sách IP độc hại, trong bài đăng trên blog của họ: Coordinated Grafana Exploitation Attempts.

Việc kiểm tra nhật ký truy cập (access logs) để tìm dấu hiệu của các yêu cầu path traversal có thể xác nhận liệu các tệp nhạy cảm đã bị truy cập hay chưa. Đây là một bước quan trọng để đánh giá mức độ ảnh hưởng của cuộc tấn công mạng.

# Ví dụ lệnh kiểm tra trong access logs (tùy chỉnh đường dẫn log file)
# Tìm kiếm các mẫu path traversal như "../" hoặc "etc/passwd"
grep -E "(../|/etc/passwd)" /var/log/grafana/grafana.log
grep -E "(../|/etc/passwd)" /var/log/nginx/access.log | grep "GET /api/datasources/proxy"

Các đội ngũ bảo mật quan tâm đến các chữ ký mạng chi tiết được sử dụng trong chiến dịch này có thể liên hệ với bộ phận hỗ trợ của GreyNoise để có được dấu vân tay JA4+.

Vì kẻ tấn công tiếp tục quay lại các lỗ hổng cũ, việc duy trì các bản vá kịp thời và giám sát cảnh giác vẫn là biện pháp phòng thủ tốt nhất để bảo vệ hệ thống khỏi các mối đe dọa liên quan đến lỗ hổng CVE-2021-43798 và các lỗ hổng tương tự.