CVE-2025-4123: Más de 1,400 servidores Grafana vulnerables en México. ¿Estás en la lista?

En un escaneo reciente realizado con FOFA, se detectaron 1,486 instancias de Grafana expuestas en México, y muchas de ellas corriendo versiones susceptibles al CVE-2025-4123, una vulnerabilidad crítica que permite SSRF (Server-Side Request Forgery) sin autenticación. Si tu infraestructura usa Grafana y no has aplicado los parches más recientes, podrías estar en riesgo real de compromiso total del sistema.

¿Qué es lo que hace peligrosa esta vulnerabilidad?

El CVE-2025-4123 permite a un atacante remoto forzar al servidor Grafana a realizar solicitudes arbitrarias, incluyendo hacia servicios internos que normalmente no serían accesibles desde el exterior. Esto se conoce como SSRF, y en muchos entornos equivale a darle a un atacante una especie de "proxy interno" con el que puede:

• Enumerar servicios expuestos solo en red local.

• Acceder a metadatos de instancias en la nube (AWS, GCP, Azure).

• Robar credenciales o tokens de sesión.

• Escalar privilegios y, en casos mal configurados, tomar el control completo del sistema.

El problema se agrava si Grafana tiene plugins habilitados, configuraciones por defecto o exposición directa a internet sin controles de acceso.

¿Por qué esto debería alarmarnos?

Grafana es ampliamente utilizado en entornos DevOps, infraestructura crítica, empresas de telecomunicaciones, instituciones educativas y hasta entidades gubernamentales. Detectar casi 1,500 instancias vulnerables solo en México es preocupante, ya que muchas de estas podrían formar parte de sistemas sensibles o estratégicos.

Este tipo de vulnerabilidad es exactamente lo que buscan grupos APT y cibercriminales con fines de espionaje, exfiltración de datos o ataques de ransomware dirigidos.

FOFA no miente: México está expuesto

La búsqueda en FOFA arrojó un número alarmante de IPs mexicanas con Grafana activo en el puerto estándar 3000, muchas de ellas respondiendo banners que indican versiones anteriores al parche del CVE-2025-4123.

Esto significa que hay infraestructura en producción que podría ser explotada con técnicas automatizadas, sin requerir credenciales, y con consecuencias potencialmente devastadoras.

Recomendaciones para administradores y equipos de seguridad

Si administras o monitoreas instancias de Grafana, toma acción de inmediato:

1. Actualiza Grafana a la versión más reciente que corrige el CVE-2025-4123.

2. Restringe el acceso público a la interfaz de Grafana (IP whitelisting o autenticación fuerte).

3. Si es posible, mueve Grafana detrás de una VPN o bastión.

4. Monitorea logs en busca de solicitudes inusuales o tráfico interno inesperado.

5. Implementa un WAF con reglas específicas contra patrones de SSRF.

6. Revisa tokens y claves de acceso que pudieran haber sido expuestas.

¿Cómo saber si estás en riesgo?

Desde MictlánSecurity te recomendamos hacer una verificación puntual en tu infraestructura. Si tienes Grafana expuesto a internet, lo mínimo es validar versión, configuración de plugins y niveles de acceso. El tiempo de respuesta es clave para evitar incidentes mayores.

Conclusión

El CVE-2025-4123 no es una vulnerabilidad más. Es una brecha crítica con vectores de ataque reales, activos y explotables. México ya está en el mapa de exposición global, y los actores maliciosos lo saben. Si gestionas sistemas que usan Grafana, esta es tu llamada de atención.