GreyNoise, via son blog, rapporte une résurgence d’exploitation de CVE-2021-43798 (Grafana) observée le 28 septembre 2025, avec 110 IP malveillantes menant des tentatives d’exploitation dans un schéma coordonné. L’activité, auparavant calme, a repris de manière nette et synchronisée.

Sur le plan technique, la vulnérabilité ciblée permet des lectures arbitraires de fichiers via traversée de répertoires. Les observations montrent une convergence d’outils (empreintes TCP distinctes et au moins deux empreintes HTTP) pointant vers les mêmes trois destinations, ainsi que des indices d’intégration de chaîne d’exploitation et d’activités de reconnaissance.

Le ciblage présente un ratio constant 3:1:1 entre les destinations États-Unis : Slovaquie : Taïwan. Parmi les 110 IP, 107 proviennent du Bangladesh (dont 105 ont visé des endpoints aux États-Unis). Deux IP chinoises — issues de CHINANET-BACKBONE — n’ont été actives qu’exclusivement le 28 septembre, suggérant une tâche partagée ou une liste d’objectifs commune (réutilisation d’exploit kit et de cibles).

IOCs observés 📌

  • 60.186.152.35 (CHINANET-BACKBONE, Chine)
  • 122.231.163.197 (CHINANET-BACKBONE, Chine)
  • 110 adresses IP malveillantes au total (dont 107 localisées au Bangladesh)

TTPs et patterns 🔎

  • Exploitation de CVE-2021-43798 dans Grafana (path traversal, lecture de fichiers arbitraires)
  • Convergence multi-outils (empreintes TCP/HTTP) sur les mêmes cibles
  • Ratio de ciblage 3:1:1 US:Slovaquie:Taïwan
  • Reconnaissance et intégration de chaîne d’exploitation

GreyNoise recommande aux défenseurs de bloquer les IP identifiées, de vérifier le correctif des instances Grafana contre CVE-2021-43798 et de passer en revue les logs pour détecter des tentatives de traversée de répertoires.

Type d’article: analyse de menace visant à documenter une campagne coordonnée réexploitatant une vulnérabilité connue, avec indicateurs et patterns observés.

🧠 TTPs et IOCs détectés

TTPs

Exploitation de CVE-2021-43798 dans Grafana (path traversal, lecture de fichiers arbitraires), Convergence multi-outils (empreintes TCP/HTTP) sur les mêmes cibles, Ratio de ciblage 3:1:1 US:Slovaquie:Taïwan, Reconnaissance et intégration de chaîne d’exploitation

IOCs

60.186.152.35, 122.231.163.197, 110 adresses IP malveillantes au total (dont 107 localisées au Bangladesh)

🔗 Source originale : https://www.greynoise.io/blog/coordinated-grafana-exploitation-attempts

🖴 Archive : https://web.archive.org/web/20251003180743/https://www.greynoise.io/blog/coordinated-grafana-exploitation-attempts