CVE-2022-46156

Agente de Monitoramento Sintético para o Grafana, versões anteriores à 0.12.0

O agente de Monitoramento Sintético para o aplicativo de Monitoramento Sintético do Grafana oferece funcionalidade de sondagem e executa verificações de rede para monitorar alvos remotos. Os usuários que executam o agente de Monitoramento Sintético em versões anteriores à 0.12.0 em sua rede local estão afetados. O token de autenticação usado para se comunicar com a API de Monitoramento Sintético fica exposto por meio de um endpoint de depuração. Esse token pode ser usado para recuperar as verificações de Monitoramento Sintético criadas pelo usuário e atribuídas ao agente identificado por esse token. A API de Monitoramento Sintético rejeitará conexões de agentes já conectados, portanto, o acesso ao token não garante acesso às verificações.

Para versões anteriores à 0.12.0, revise as configurações do agente e defina o endereço de escuta HTTP de forma a limitar a exposição, por exemplo, localhost ou uma rede não roteada, usando o parâmetro de linha de comando -listen-address, como -listen-address localhost:4050.

Após atualizar para a versão 0.12.0 ou posterior, revise a configuração armazenada em /etc/synthetic-monitoring/synthetic-monitoring-agent.conf, especificamente a variável API TOKEN, que foi renomeada para SM AGENT API TOKEN.

Faça a rotação dos tokens do agente.