Grafana. Ce bel outil open source que tout le monde aime. Il est beau, il est pratique, il fait des graphiques dignes de PowerBI sans t’insulter la RAM. Tu le colles sur un serveur, tu balances Prometheus, Zabbix, ou n’importe quelle base de données, et paf ! Tu es un DevOps sexy. Mais voilà : derrière cette façade pleine de courbes, il y a Chromium. Et Chromium, parfois, c’est une boîte de Pandore.
Et aujourd’hui, la boîte s’est ouverte en grand avec CVE-2025-6554, une faille zero-day exploitée activement, patchée en urgence par les développeurs de Grafana… qui ont dû se réveiller d’un coma de confiance aveugle.
🧠 La faille, expliquée sans vaseline
CVE-2025-6554, c’est un cadeau de la maison Chromium. Une faille dans la gestion mémoire (use-after-free)permettant à un attaquant d’exécuter du code arbitraire via une charge malveillante (genre un dashboard avec un petit composant bien tordu, une iframe déguisée en diagramme ou un joli SVG piégé).
Cette vulnérabilité est particulièrement croustillante car :
- Elle touche Grafana via son moteur embarqué basé sur Chromium.
- Elle est déjà exploitée dans la nature. Oui, ce n’est pas un POC sur GitHub, c’est dans ton réseau maintenant.
- Elle peut corrompre la mémoire, ouvrir des backdoors, extraire tes tokens d’API, ou mieux : transformer Grafana en porte dérobée vers tout ton SI.
Bref, du pur bonheur pour un pentester… ou un ransomware.
🛠️ Versions concernées
Selon les premiers rapports :
- Les versions 10.x de Grafana sont concernées.
- Plus précisément, toutes les versions intégrant un composant webview ou iframe en Chromium sans sandbox stricte.
Traduction : si tu as une version “moderne” avec jolis dashboards, t’es dans la sauce.
🐍 Pourquoi c’est (encore) un problème monumental
Parce que Grafana, c’est rarement isolé. C’est souvent le point d’entrée pour visualiser des données sensibles :
- Statistiques d’usage d’applis critiques
- Statuts des services métiers
- Métriques d’infra avec tokens Prometheus, Elasticsearch, AWS ou Azure à portée de clic
- Scripts personnalisés, dashboards exposés par accident, et j’en passe.
Mais surtout… parce que 99% des entreprises l’installent à l’arrache, genre :
docker run grafana/grafana -p 3000:3000
…et hop, on expose tout ça sur Internet sans VPN, sans MFA, sans restriction IP.
Tu vois venir la suite ?
🐾 Et là, arrive un attaquant curieux…
Il scanne le web, trouve un port 3000 ou un reverse proxy mal configuré, tombe sur Grafana.
Puis il injecte un dashboard custom via une vulnérabilité ou un accès admin oublié (ça arrive souvent), et boom : il exécute son propre code via Chromium.
Et tout ça en exploitant une faille déjà documentée, et patchée trop tard chez toi.
🧯 Comment éviter de pleurer dans la soupe
Voici un petit kit de survie, si tu ne veux pas voir Grafana devenir le pivot de ton prochain ransomware :
✅ Mets à jour Grafana : version corrigée dispo depuis le 6 juillet 2025. Aucune excuse.
🔐 Désactive les plugins inutiles et les visualisations tierces.
🧱 Filtre l’accès réseau à Grafana : IP whitelist, VPN, bastion.
📉 Désactive l’édition publique des dashboards et les liens de partage externes.
🕵️♂️ Regarde les logs : connexions suspectes, dashboards inconnus, accès admin non légitimes.
👮 Audit de surface d’attaque : Grafana n’est PAS un outil “passif”. Il peut exécuter du JavaScript embarqué.
Et surtout : arrête de croire que les outils d’observabilité sont « hors du scope sécurité ». Spoiler : ils ne le sont pas.
💣 Le vrai problème derrière le problème
Ce n’est pas juste une faille Chromium. C’est un symptôme plus profond :
👉 Les outils DevOps sont devenus des pépites pour les attaquants.
👉 Les composants embarqués (Electron, Chromium, WebKit…) introduisent une complexité incontrôlable.
👉 Et les déploiements « plug-and-pray » dans Docker ou Kubernetes ? Une bénédiction pour les pirates.
🎤 Conclusion – Le graphique le plus dangereux de ton SI
Ton Grafana, c’est peut-être joli. Mais c’est aussi potentiellement le graphique qui t’expose à la pire vulnérabilité de l’année.
CVE-2025-6554, c’est pas juste un bug. C’est une leçon d’humilité pour tous ceux qui pensent que “ce n’est qu’un outil de visualisation”.
Alors update, durcis, cloisonne.
Et si tu veux faire vraiment pro : fais une alerte Zabbix si ton Grafana dépasse 3 mois sans mise à jour. Tu me remercieras plus tard.
🧠 Rédigé avec mauvaise foi, café noir et logs dans les yeux.
