CVE-2022-26148

CVE-2022-26148 adalah kerentanan yang ditemukan pada integrasi Zabbix dengan Grafana versi 7.3.4 kebawah. Informasi login username dan password Zabbix dapat dilihat di balik source code HTML halaman login Grafana.^[1] Kerentanan ini diklasifikasikan sebagai CWE-312 "Cleartext Storage of Sensitive Information", suatu kondisi ketika informasi sensitif tak terenkripsi bocor ke publik, sehingga dapat dibaca dengan bebas. Kerentanan ini termasuk dalam daftar Top 5 CVE Global tahun 2022 menurut laporan Badan Siber dan Sandi Negara.^[2]

Latar belakang

Grafana adalah perangkat lunak untuk membuat dashboard monitoring. Sementara itu, Zabbix adalah perangkat lunak untuk memantau kondisi jaringan dan server. Data yang dihasilkan dari Zabbix dapat divisualisasikan menjadi sebuah dashboard monitoring menggunakan Grafana. Integrasi Zabbix - Grafana merupakan sistem yang digunakan oleh pengelola sistem IT untuk memantau kesehatan sistem dan mempersiapkan proses mitigasi terhadap insiden.

Deskripsi kerentanan

Informasi login Zabbix dalam format JSON di variabel window.grafanaBootData pada source-code HTML halaman login Grafana versi 7.3.4 kebawah

Pada source-code HTML halaman login Grafana versi 7.3.4 kebawah, terdapat sebuah variabel javascript window.grafanaBootData. Variabel ini mengandung sebuah objek JSON yang mengandung informasi login Zabbix. Karena isi variabel ini ada di dalam source-code HTML, pengguna dapat menggunakan fitur inspect element atau view source pada browser untuk melihat informasi login & password ini.

Referensi

^ NIST Information Technology Laboratory (2022) "CVE-2022-26148 Detail"
^ Andi Yusuf, M.T. "Landskap Keamanan Siber Indonesia 2022" Direktorat Operasi Keamanan Siber - Badan Siber dan Sandi Negara

[1] NIST Information Technology Laboratory (2022) "CVE-2022-26148 Detail"

[2] Andi Yusuf, M.T. "Landskap Keamanan Siber Indonesia 2022" Direktorat Operasi Keamanan Siber - Badan Siber dan Sandi Negara

[1]

[2]