CVE-2024-22120: Zabbix Server Audit Log Time-Based SQL Injection Vulnerability
Severity: Critical
CVSS Score: 9.1
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Mô tả:
Zabbix là một công cụ giám sát mã nguồn mở, thu thập, lưu trữ, quản lý và phân tích thông tin từ cơ sở hạ tầng CNTT. Zabbix có thể giám sát nhiều thành phần CNTT khác nhau, bao gồm networks, servers, virtual machines (VMs) và cloud services. Zabbix cũng cung cấp các tính năng báo cáo và trực quan hóa dữ liệu có thể truy cập thông qua giao diện web.
Zabbix Server bị phát hiện lỗ hổng SQL injection mã định danh CVE-2024-22120. Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công từ xa thực thi các truy vấn SQL tùy ý, truy xuất cơ sở dữ liệu, nâng cao quyền hạn lên admin và thực thi mã từ xa.
Điều kiện tấn công là attacker có quyền truy cập low-privilege user và thực thi scripts. Do Zabbix có thể thực hiện lệnh cho các script được cấu hình, sau khi lệnh được thực thi, kết quả sẽ được ghi chú vào "Audit Log". Do trường "clientip" không được làm sạch nên attacker có thể chèn SQL vào "clientip" và khai thác lỗi time-based blind SQL injection.
Hiện tại, chưa có thông tin về việc lỗ hổng này đã bị khai thác trong thực tế, nhưng với mức độ nguy hiểm cao và đã có PoC khai thác, việc vá lỗ hổng ngay lập tức là cần thiết.
Phiên bản bị ảnh hưởng:
Zabbix Server các phiên bản từ 6.0.0 – 6.0.27
Zabbix Server các phiên bản từ 6.4.0 – 6.4.12
Zabbix Server các phiên bản từ 7.0.0alpha1 – 7.0.0beta1
Phiên bản vá:
Zabbix Server phiên bản 6.0.28rc1
Zabbix Server phiên bản 6.4.13rc1
Zabbix Server phiên bản 7.0.0beta2
Affected Product | Affected Versions | Fixed Version |
---|---|---|
Zabbix Server | 6.0.0 – 6.0.27 | 6.0.28rc1 |
Zabbix Server | 6.4.0 – 6.4.12 | 6.4.13rc1 |
Zabbix Server | 7.0.0alpha1 – 7.0.0beta1 | 7.0.0beta2 |
Cách kiểm tra và khắc phục
Các quản trị viên hệ thống cần nhanh chóng áp dụng các biện pháp phòng ngừa và khắc phục:
Kiểm tra lỗ hổng
Xác định phiên bản Zabbix Serve đang sử dụng, nếu nằm trong phiên bản bị ảnh hưởng thì cần khắc phục ngay lập tức.
Khắc phục
Tải xuống và cài đặt phiên bản Zabbix Server 6.0.28rc1, 6.4.13rc1, hoặc 7.0.0beta2 từ trang chủ Zabbix
Biện pháp bổ sung:
Kiểm tra và giám sát nhật ký hệ thống để phát hiện các dấu hiệu bất thường hoặc các cuộc tấn công đã xảy ra.
Liên hệ SOC nếu nghi ngờ khả năng hệ thống bị tấn công.
Tham khảo:
Các phiên bản vá: 6.0.28rc1, 6.4.13rc1, 7.0.0beta2