Cyber Security Enthusiast

Metabase Dengan Vulnerability Local File Inclusion

M

Description

Metabase adalah sebuah software atau tool yang sering digunakan untuk keperluan business intelligence. Metabase merupakan tool yang bisa memvisualisasikan data lewat grafik sehingga proses analisis lebih mudah untuk dilakukan, (sumber: gmedia.net.id).

Untuk mendeteksi celah keamanan ini tergolong sangat mudah karena tinggal melakukan akses ke endpoint yang memiliki vulnerability pada platform Metabase yang memiliki versi dibawah 0.40.5 dan 1.40.5.

Affected Endpoint

http://[redacted]:9000/api/geojson?url=file:////etc/passwd

Vulnerability Details

  • Title: CVE-2021-41277 (Metabase Local File Inclusion)
  • Description: In affected versions a security issue has been discovered with the custom GeoJSON map (“admin->settings->maps->custom maps->add a map”) support and potential local file inclusion (including environment variables). URLs were not validated prior to being loaded.
  • CVSS Score: 9.9
  • Source: securityonline.info & cve.mitre.org

Steps to Reproduce

  • Akses endpoint yang memiliki vulnerability, dalam kasus ini yang ingin saya baca adalah file /etc/passwd pada server target
Berhasil menampilkan isi pada file /etc/passwd di server target

Remediation

Untuk mengantisipasi dan memperbaiki vulnerability ini, cara pertama dapat melakukan update program ke versi sama dengan atau lebih dari 0.40.5 dan 1.40.5. Jika update program belum/tidak memungkinkan karena alasan tertentu dapat dilakukan dengan menambahkan filter pada reverse proxy atau load balancer atau WAF dengan contoh aturan seperti berikut:

  • Berikan respon forbidden untuk request yang mengandung path /api/geojson dan memiliki query dengan awalan file:/// atau berpola alamat (http://192.168.xxx.xxx)

Penting untuk segera dilakukan tindakan mitigasi terhadap environment yang ada agar tidak terkena dampak dari covid-19 CVE-2021-41277. Thanks!

Add comment

Cyber Security Enthusiast