Kritikus Zabbix sérülékenység (CVE-2024-42327)
A Zabbix figyelmeztetett egy kritikus súlyosságú sérülékenységre a nyílt forráskódú vállalati hálózati felügyeleti megoldásában. A biztonsági rés lehetővé teheti a támadók számára, hogy tetszőleges SQL-lekérdezések injektálását, és kompromittálják az adatokat vagy a rendszert. A CVE-2024-42327 (CVSS: 9,9) néven nyomon követhető biztonsági hiba egy olyan funkcióban van, amely minden olyan felhasználó számára elérhető, akinek API hozzáféréssel rendelkező szerepköre van.
„A Zabbix frontendben egy nem admin felhasználói fiók az alapértelmezett User szerepkörrel, vagy bármely más, API-hozzáférést biztosító szerepkörrel kihasználhatja ezt a sérülékenységet. Van egy SQLi a CUser osztályban az addRelatedObjects függvényben, ezt a függvényt a CUser.get függvényből hívja meg, amely minden olyan felhasználó számára elérhető, aki API hozzáféréssel rendelkezik” – áll a figyelmeztetésben.
A sérülékenységet Rákóczi Márk fedezte fel a HackerOne bug bounty platformon. A sérülékenységet a Qualys is elemezte, amely megjegyezte, hogy kihasználása lehetővé teheti a támadók számára a jogosultságok kiterjesztését és a sérülékeny Zabbix szerverek feletti teljes irányítás megszerzését. A kiberbiztonsági cég több mint 83 000 internetnek kitett Zabbix szervert azonosított. A gyártó bejelentése szerint a hiba a Zabbix 6.0.0-tól 6.0.31-ig, 6.4.0-tól 6.4.16-ig és 7.0.0-ig terjedő verziókat érinti. Bár a CVE-2024-42327-ről csak a múlt héten jelent meg egy advisory, a hiba javítását a júliusban kiadott 6.0.32rc1, 6.4.17rc1 és 7.0.1rc1 verziók tartalmazzák.
