Vulnerabilidad en Synthetic Monitoring de Grafana (CVE-2022-46156)

El agente de monitoreo sintético para la aplicación Synthetic Monitoring de Grafana proporciona funcionalidad de sonda y ejecuta comprobaciones de red para monitorizar objetivos remotos. Los usuarios que ejecutan el agente de Synthetic Monitoring antes de la versión 0.12.0 en su red local se ven afectados. El token de autenticación utilizado para comunicarse con la API de Synthetic Monitoring se expone a través de un endpoint de depuración. Este token se puede utilizar para recuperar las comprobaciones de Synthetic Monitoring creadas por el usuario y asignadas al agente identificado con ese token. La API de Synthetic Monitoring rechazará conexiones de agentes ya conectados, por lo que el acceso al token no garantiza el acceso a las comprobaciones. La versión 0.12.0 contiene la solución. Se recomienda a los usuarios rotar los tokens de los agentes. Después de actualizar a la versión v0.12.0 o posterior, se recomienda que los usuarios de los paquetes de distribución revisen la configuración almacenada en `/etc/synthetic-monitoring/synthetic-monitoring-agent.conf`, específicamente la variable `API_TOKEN` cuyo nombre ha sido renombrado a `SM_AGENT_API_TOKEN`. Como workaround para versiones anteriores, se recomienda que los usuarios revisen la configuración del agente y establezcan la dirección de escucha HTTP de una manera que limite la exposición, por ejemplo, localhost o una red no enrutada, utilizando el parámetro de línea de comando `-listen-address`, p.e. `-listen-address localhost:4050`.