[하루한줄] VirusTotal Grafana Admin Panel bypass
URL
Grafana Admin Panel bypass in Google Acquisition(VirusTotal)
Target
- grafana.internal.virustotal.com
Explain
구글이 인수한 VirusTotal의 서브 도메인 grafana.internal.virustotal.com에서 Admin Panel을 우회할 수 있는 취약점이 발견되었습니다. Grafana는 다중 플랫폼 오픈 소스 분석 및 모니터링 솔루션으로, 해당 도메인은 권한이 없으면 grafana 엔드포인트에 접속하거나 새로운 계정 생성이 불가능합니다. (Google, Github 등 다른 계정 이용 포함)
Grafana에는 사용자를 수정, 추가하고 비밀번호를 수정할 수 있는 엔드포인트가 존재하지만 일부 기능은 관리자만이 사용할 수 있습니다. Grafana에서 대부분의 민감한 request의 기본 인증 헤더는 Authorization: Basic YWRtaW46YWRtaW4=
인데 base64로 decode하면 admin:admin
이 나옵니다. 이를 사용해 관리자로 로그인한 후 관리자 권한을 가진 새 계정을 생성하여 애플리케이션 전체에 액세스할 수 있습니다.
또한 Admin Panel에서 VirusTotal 내부 텔레그램 그룹에 알림을 보내는 텔레그램 API 키가 존재합니다. 이를 통해 봇을 사용하여 텔레그램 그룹의 모든 사람에게 메시지를 전송할 수 있습니다.
https://api.telegram.org/bot_API_KEY/sendMessage?chat_id=userid&text= SOME_URL_ENCODED_TEXT
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.