Одна помилка в інтеграції з провайдером ідентифікації може перетворити платформу моніторингу на точку повного компрометування інфраструктури. Саме це сталося з комерційною версією Grafana Enterprise, де виявлено критичну уразливість CVE-2025-41115 з максимальним балом 10.0 за CVSS. Вона дозволяє зловмиснику створити обліковий запис, який Grafana трактує як внутрішнього користувача, включно з адміністратором, і тим самим отримати повний контроль над інстансом.
Що таке CVE-2025-41115 та як вона пов’язана зі SCIM provisioning
Уразливість проявляється лише тоді, коли в Grafana Enterprise активований механізм SCIM provisioning (System for Cross-domain Identity Management) — стандарт, який використовується для автоматичної синхронізації користувачів між IdP та сервісами. Критичним є те, що параметри enableSCIM та user_sync_enabled встановлені в значення true.
Основою проблеми стала некоректна обробка атрибута externalId, який у SCIM використовується для унікальної ідентифікації користувача на боці Identity Provider. В уразливих версіях це значення напряму зіставлялося з внутрішнім ідентифікатором user.uid у Grafana. Якщо SCIM‑клієнт створював користувача з числовим externalId на кшталт «1», система могла помилково пов’язати його з уже існуючим внутрішнім обліковим записом, включно з адмінським.
Такий сценарій відкриває можливості для підміни облікового запису (impersonation) та підвищення привілеїв: зловмисник отримує права цільового користувача без знання його пароля і без зламу механізму автентифікації як такого.
Як експлуатується уразливість SCIM у Grafana Enterprise
Роль шкідливого або скомпрометованого SCIM‑клієнта
За інформацією розробників, реальна експлуатація CVE-2025-41115 можлива через шкідливий або скомпрометований SCIM‑клієнт, який має право надсилати запити на створення чи оновлення користувачів в Grafana. Ним може бути зламаний IdP, зовнішній сервіс інтеграції, або зловмисник, що заволодів токеном доступу SCIM‑клієнта.
Отримавши такі привілеї, атакуючий створює обліковий запис із заздалегідь підібраним числовим externalId, який збігається з внутрішнім user.uid існуючого користувача (наприклад, адміністратора). Через некоректне зіставлення ідентифікаторів Grafana інтерпретує новий запис як внутрішній акаунт та передає йому всі відповідні права. З погляду журналів це може виглядати як законні зміни, що ускладнює виявлення інциденту.
Подібні вектори атак добре узгоджуються з галузевими трендами: у звітах з кібербезпеки атаки на системи керування обліковими записами та привілеями стабільно входять до основних причин компрометації, адже компрометований IdP дає зловмиснику «ключі від усього будинку».
Які інсталяції Grafana вразливі до CVE-2025-41115
Під загрозою перебувають лише інсталяції Grafana Enterprise версій 12.0.0–12.2.1, і лише за умови, що SCIM provisioning увімкнено. Якщо SCIM відключений, уразливість не проявляється.
Водночас важливі обмеження:
— Grafana OSS (відкрита версія) не містить цієї уразливості;
— Grafana Cloud, Amazon Managed Grafana та Azure Managed Grafana уже отримали виправлення;
— SCIM у Grafana офіційно має статус Public Preview і використовується порівняно рідко в продуктивних середовищах.
Уразливість була виявлена під час внутрішнього аудиту безпеки 4 листопада 2025 року. Патч підготували та опублікували менш ніж за добу, а розслідування не виявило ознак експлуатації CVE-2025-41115 у хмарній інфраструктурі Grafana.
Рекомендовані дії для адміністраторів Grafana Enterprise
Адміністраторам self-managed інсталяцій необхідно в найкоротший термін оновитися до однієї з виправлених версій Grafana Enterprise: 12.3.0, 12.2.1, 12.1.3 або 12.0.6. З огляду на CVSS 10.0 та прямий вплив на облікові записи адміністраторів, це слід розглядати як пріоритетне завдання з управління вразливостями.
Якщо швидке оновлення неможливе, варто тимчасово повністю відключити SCIM provisioning, перевівши параметри enableSCIM та user_sync_enabled у значення false. Це розриває потенційний ланцюг атаки, хоч і позбавляє систему зручності автоматичної синхронізації користувачів.
Додатково до оновлення прошарку управління доступом до Grafana доцільно:
— провести аудит усіх інтеграцій з IdP і SCIM‑клієнтами;
— переглянути політики створення та ротації токенів SCIM‑доступу;
— налаштувати моніторинг підозрілих змін у ролях та облікових записах адміністраторів;
— мінімізувати використання preview‑функцій, зокрема SCIM, у продуктивних середовищах без додаткових компенсуючих контролів.
Ширший контекст: чому Grafana стає привабливою ціллю
Напередодні публікації інформації про CVE-2025-41115 фахівці компанії GreyNoise зафіксували різкий стрибок сканувань, спрямованих на пошук давно відомої уразливості обходу шляху в Grafana. Це свідчить про стійкий інтерес атакувальників до платформи моніторингу як до точки входу в корпоративну мережу.
Для організацій це чергове нагадування: системи моніторингу, журнали та інструменти спостереження за інфраструктурою не є «другорядними» з погляду кіберзахисту. Навпаки, вони часто мають розширені привілеї та доступ до критичних сегментів, а отже, повинні оновлюватися та контролюватися не менш ретельно, ніж основні бізнес‑системи.
У поточних умовах доцільно переглянути процеси управління оновленнями, мінімізацією прав та моніторингом дій адміністраторів, а також підвищити увагу до інтеграцій з IdP і протоколом SCIM. Регулярні внутрішні аудити, швидке впровадження патчів та обмеження експериментальних функцій у продакшені суттєво знижують імовірність того, що одна помилка в конфігурації, як у випадку CVE-2025-41115, відкриє зловмисникам дорогу до повного контролю над вашою Grafana та всією пов’язаною інфраструктурою.
