O Zabbix Server está vulnerável a uma falha crítica, identificada como CVE-2024-42327, com uma pontuação CVSS de 9.9. A exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes escalem privilégios e obtenham controle total sobre servidores Zabbix vulneráveis.
A vulnerabilidade foi descoberta e reportada por Márk Rákóczi através da plataforma de recompensa de bugs HackerOne.
Uma pesquisa rápida identificou mais de 83.000 possíveis alvos vulneráveis no Fofa no momento da escrita.
O Zabbix é uma ferramenta de monitoramento de código aberto que coleta, armazena, gerencia e analisa informações de infraestrutura de TI. Ele pode monitorar componentes diversos, incluindo redes, servidores, máquinas virtuais (VMs) e serviços em nuvem. Além disso, oferece relatórios e recursos de visualização de dados acessíveis por meio de uma interface web.
Detalhes da Vulnerabilidade:
Origem da Falha: A vulnerabilidade está no endpoint da API user.get, que pode ser explorado por usuários não-administradores com acesso à API, incluindo contas com a função padrão de "Usuário".
Mecanismo de Exploração:
A falha de injeção de SQL reside na classe CUser, especificamente na função addRelatedObjects.
Esta função é chamada pela função CUser.get, acessível a usuários com permissão na API.
Um invasor pode injetar comandos SQL manipulando chamadas de API, permitindo acesso e controle não autorizado.
Versões Afetadas:
6.0.0 até 6.0.31
6.4.0 até 6.4.16
7.0.0
Mitigação:
A Zabbix lançou atualizações para corrigir a vulnerabilidade:
6.0.32rc1
6.4.17rc1
7.0.1rc1
Para mais informações, consulte o Zabbix Security Advisory (ZBX-25623).
Detecção pela Qualys:
Clientes da Qualys podem usar o identificador QID 382447 para escanear dispositivos e identificar ativos vulneráveis.
Referências:
Via - Qualys
Comments