A solução Grafana recebeu uma atualização de emergência para c | Cypherpunks Brasil

A solução Grafana recebeu uma atualização de emergência para corrigir uma vulnerabilidade zeroday que permite acesso remoto a arquivos locais.

Foram lançadas as versões 8.3.1, 8.2.7, 8.1.8 e 8.0.7 do Grafana(https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/) para corrigir a vulnerabilidade que permite que um invasor navegue fora da pasta do Grafana e acesse remotamente locais restritos no servidor, como /etc/passwd/.

Mesmo com instâncias do Grafana em Cloud não sendo afetadas por este zero-day, existem milhares de servidores Grafana expostos na Internet.

Recomenda-se tornar os mesmos inacessíveis na internet, até que as atualizações sejam aplicadas, mitigando assim, o risco desta vulnerabilidade ser explorada.

https://www.bleepingcomputer.com/news/security/grafana-fixes-zero-day-vulnerability-after-exploits-spread-over-twitter/

Mais de 60% dos dados furtados vêm de arquivos - sejam os estocados em servidores (locais, híbridos ou nuvem), sejam estocados em computadores da rede local.

Isso acontece pois a maior parte das informações úteis aos criminosos podem ser encontradas já filtradas e tabuladas em planilhas e documentos diversos - e com muito menos (ou nenhuma) segurança que existem em mecanismos profissionais de bancos-de-dados.

Pior: falo de estatísticas; não é uma previsão pessimista de alguma forma.

Pare e reflita: como está a segurança de seus arquivos pessoais e os usados e trafegados dentro de seu projeto? Confiando apenas no login/senha que a eles dá acesso?