Lỗ hổng RCE nghiêm trọng trong Grafana

Vừa qua Grafana đã phát hành bản vá khẩn cấp cho một lỗ hổng nghiêm trọng, cho phép tin tặc lợi dụng và thực thi mã từ xa (RCE) thông qua khai thác sqlExpressions và Grafana Enterprise plugin có sẵn trong sản phẩm của hãng.

Thông tin chi tiết

Định danh lỗ hổng: CVE-2026-27876
Điểm CVSS (3.1): 9.1
Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng
Mô tả: Chuỗi tấn công sử dụng kết hợp các lệnh SQL (SQL Expressions) và plugin của Grafana Enterprise dẫn đến tấn công thực thi mã từ xa (RCE). Lỗ hổng bắt nguồn từ tính năng sqlExpressions trong phiên bản Grafana OSS, do đó tất cả quản trị viên và người dùng đều được khuyến nghị cập nhật bản vá mới nhất để ngăn chặn nguy cơ bị tấn công trong tương lai.
Phiên bản bị ảnh hưởng: Grafana phiên bản < 11.6.0, < 12.1.0 và >= 12.4.2

Grafana là một nền tảng mã nguồn mở, hỗ trợ truy vấn, phân tích, hiển thị trực quan hoá và cảnh báo dữ liệu tới quản trị viên từ nhiều nguồn dữ liệu khác nhau, cung cấp cho người dùng một cái nhìn tổng quan về hiệu suất của hệ thống theo thời gian thực.

Grafana được sử dụng thông dụng, đóng vai trò là "đôi mắt" của hệ thống giám sát SOC hoặc DevOps:

Giám sát lưu lượng mạng: Grafana hỗ trợ theo dõi các luồng dữ liệu bất thường, giúp phát hiện sớm các dấu hiệu của Botnet hoặc tấn công từ chối dịch vụ DoS/DDoS.
Quản lý log: kết hợp với Elasticsearch hoặc Loki để quản lý log, hiển thị các log hành vi truy cập bất thường như truy cập trái phép vào máy chủ.
Theo dõi sức khoẻ hệ thống: Giám sát tài nguyên các máy chủ vật lý, các máy ảo hoặc các container để đảm bảo hệ thống luôn hoạt động ổn định.

Vừa qua, nền tảng mã nguồn mở này vừa trở thành tâm điểm quan tâm của cộng đồng an ninh mạng do sự xuất hiện của CVE-2026-27876, cho phép tin tặc khai thác để đạt được khả năng thực thi mã từ xa.

Theo Grafana Labs, lỗ hổng xuất phát từ tính năng SQL expressions trong Grafana, cho phép biến đổi dữ liệu truy vấn bằng cú pháp SQL thông dụng. Tuy nhiên, các cú pháp này cũng cho phép ghi tệp tuỳ ý vào hệ thống tệp của máy chủ. Lợi dụng điều này, kẻ tấn công có thể kết hợp nhiều phương thức khai thác khác nhau để đạt được quyền thực thi mã trên hệ thống mục tiêu thông qua mạng internet.

Mặt khác, Grafana Labs cũng thông tin thêm, để khai thác thành công CVE-2026-27876 cần phải đạt được 2 yếu tố sau:

Kẻ tấn công có quyền Viewer hoặc cao hơn để thực thi các truy vấn tới nguồn dữ liệu.
Tính năng sqlExpressions trên hệ thống mục tiêu phải ở trạng thái bật (enable).

Khi các điều kiện trên được đáp ứng, kẻ tấn công có thể tuỳ ý ghi đè (overwrite) driver Sqlyze hoặc chỉnh sửa, thêm các lệnh độc hại trong tệp cấu hình nguồn dữ liệu triển khai AWS, thiết lập kết nối SSH bền vững tới máy chủ Grafana mục tiêu để chiếm hoàn toàn quyền thực thi mã từ xa.

Mặt khác, Grafana Labs cũng thông báo về một lỗ hổng nghiêm trọng khác với định danh CVE-2026-27880 đạt 7.5 trên thang điểm CVSS (3.1), cho phép tin tặc lợi dụng, kết hợp với lỗ hổng trên làm quá tải hệ thống bằng các request có kích thước size rất lớn, gây tình trạng từ chối dịch vụ cho Grafana, ảnh hưởng đến các dịch vụ giám sát cũng như các hoạt động an ninh mạng trong tổ chức, doanh nghiệp.

Khắc phục & Khuyến nghị

Các nhà bảo mật thuộc Grafana Labs khuyến nghị quản trị viên và người dùng nên:

Cập nhật bản vá: Cập nhật Grafana lên phiên bản mới nhất để tránh nguy cơ mất an toàn bảo mật do lỗ hổng này gây ra.
Vô hiệu hoá sqlExpressions: Tắt tính năng để vô hiệu hoá một điều kiện cho phép kẻ tấn công có thể khai thác CVE-2026-27876.
Vô hiệu hoá các nguồn AWS đã cài đặt: Nếu người dùng triển khai Sqlyze, cần thực hiện lên phiên bản mới hơn 1.5.0 hoặc vô hiệu hoá Sqlyze. Mặc khác vô hiệu hoá hoàn toàn các nguồn dữ liệu AWS đã được cài đặt.
Triển khai Grafana trong môi trường High Availability (HA): triển khai đồng thời trong môi trường HA kết hợp với tính năng tự động khởi động lại (automatic restart)
Thiết lập Reverse Proxy: Triển khai Reverse Proxy đứng trước Grafana để giới hạn nghiêm ngặt kích thước payload đầu vào như Cloudflare hay Nginx.