Grafana ist eine weit verbreitete Observability-Plattform, auf die Unternehmen für die Erfassung und Nachverfolgung geschäftskritischer Daten angewiesen sind — von Finanzkennzahlen über Telemetrie bis hin zu Betriebsdaten und Kundeninformationen. Ein Kompromittieren einer Grafana-Instanz könnte für Organisationen verheerend sein, da die Plattform zentral mit den wertvollsten Informationen eines Unternehmens verbunden ist.
Das Sicherheitsunternehmen Noma Security veröffentlichte kürzlich Forschungsergebnisse zu “GrafanaGhost”, einem indirekten Prompt-Injection-Angriff, der es Angreifern ermöglicht hätte, sensible Daten abzuziehen. Die Attacke nutzt aus, wie Grafanas KI-Komponenten Informationen verarbeiten. Ein Angreifer würde bösartige Anweisungen auf einer eigenen Webseite verstecken und diese so präsentieren, dass die KI sie als harmlos interpretiert und unwissentlich angeforderte Daten an einen vom Angreifer kontrollierten Server sendet.
Technisch funktioniert der Angriff folgendermaßen: Ein Benutzer würde ein von einem Angreifer erstelltes URL-Schema öffnen, und Grafana würde die bösartige Eingabe verarbeiten, sobald eine manipulierte Bilddatei geladen wird. Die Forscher umgingen Schutzmaßnahmen für externe Bilder durch Verwendung von protokollrelativen URLs zur Umgehung der Domain-Validierung und des “INTENT”-Schlüsselworts, um die Sicherheitsvorkehrungen des KI-Modells zu deaktivieren. Dies führte dazu, dass Grafana externe Eingaben als legitim einstufte.
Wie Sasi Levi, Security-Research-Lead bei Noma Security, erläutert, machte dies den Angriff besonders heimtückisch: Der Angreifer benötigte nur, dass die bösartige Eingabe an einem Ort gespeichert wird, den Grafanas KI-Komponenten später verarbeiten. Sobald die Eingabe im Datenspeicher sitzt, “wartet” sie und wird automatisch ausgelöst, wenn ein beliebiger Benutzer normal mit Grafana interagiert — beispielsweise beim Durchsuchen von Protokollen. Der Benutzer ist nicht das Ziel eines Phishing-Versuchs, sondern ein unwillentlicher Auslöser.
Grafana Labs CISO Joe McManus bestätigte, dass die Sicherheitslücke im Image Renderer der Markdown-Komponente lag und schnell gepatcht wurde. Allerdings bestritt Grafana Nomas Charakterisierung als “Zero-Click”-Angriff, der autonom im Hintergrund ablaufen könnte. McManus argumentierte, dass erhebliche Benutzerinteraktion notwendig gewesen wäre.
Levi widersprach und betonte, dass der Exploit weniger als zwei Schritte erfordert hätte und die KI keine Warnung angezeigt hätte. Die indirekten Eingaben seien autonom verarbeitet worden, ohne den Benutzer zu benachrichtigen. Grafana bestätigte, dass keine Ausbeutung in freier Wildbahn oder Datenlecks aufgetreten sind. Noma respektiert zwar die schnelle Reaktion von Grafana, lehnt aber ab, eine ungenaue Charakterisierung der Exploits bestehen zu lassen.